ProcedimientoFortigateFSAE

Fortigate - FSAE - Fortinet Server Authentication Extension http://www.bujarra.com/ProcedimientoFortigateFSAE.html

1 de 16 01/12/2007 1:11

Fortigate - FSAE - Conector Directorio Activo

FSAE - Fortinet Server Authentication Extension,

Si queremos integrar el firewall con nuestro Directorio Activo (Active Directory - AD), para que no tengamos que usar siempre usuarios locales, si no aprovechar los que tiene la base de datos de los controladores de dominio, usaremos una herramienta llamada FSAE. En este procedimiento se explica,cómo instalar el FSAE, cómo configurar los controladores de dominio y el firewall, después crearemosuna política y sólo navegarán por internet (o la regla que nos interese) los usuarios del directorio activo.

Lo primero es descargar dicha herramienta, podemos hacerlo de AKI. Empezamos a instalarla y nossaldrá un asistente típico, podemos instalarla en cualquier PC, esto luego nos instalará unos agentes deforma remota en los controladores de dominio para sacar información de los usuarios que tiene la BDdel AD, yo recomiendo dejarlo instalado en un controlador de dominio. Pulsamos sobre "Next",


2 de 16 01/12/2007 1:11

Ese es path por defecto, "Next"

Nos pide un usuario y una contraseña con permisos para iniciar los servicios del FSAE, metemos uno conpermisos, normalmente el administrador de dominio, "Next",


3 de 16 01/12/2007 1:11

"Install" para que comienze a instalarlo,

...


4 de 16 01/12/2007 1:11

Vale, marcamos el check de "Launch DC Agent Install Wizard" para que comienze a instalar los agentes en los controladores de dominio, para colectar información de los usuarios y sus hashes para el tema delas contraseñas, "Finish",

Vale, metemos la IP del agente que tendrá la información de la BD de AD, la de un controlador dedominio, el puerto por defecto sería el 8002, damos a "Siguiente",


5 de 16 01/12/2007 1:11

Vale, nos detecta nuestro dominio y pulsamos sobre "Siguiente",

Nos muestra todas las cuentas de usuario que hay en nuestro Directorio Activo, lo normal es monotorizar todas las cuentas del DA, pero podemos marcar las que NO queremos que nos analice,después le damos a "Siguiente",


6 de 16 01/12/2007 1:11

Nos detecta los dos controladores que tengo en mi dominio y en los dos monotorizará los logins paraque el FSAE funcione perfectamente, marcamos ambos para que se isntale el agente en ellos. "Siguiente",

Vale, indica que está bien instalado en el primer domain controller, habría que reiniciar para queempiece a funcionar, cuando podamos lo hacemos.

Lo mismo, en el segundo controlador de dominio también lo ha instalado perfectamente, lo reiniciamoscuando podamos.


7 de 16 01/12/2007 1:11

"Finalizar"

Una vez reiniciados, abrimos la consola "Configure FSAE"


8 de 16 01/12/2007 1:11

Nos salen los dos controladores de dominio de los cuales se están monotorizando los logins pararecolectar sus passwords de los usuarios, comprobamos que los puertos son el 8000 y el 8002, y sobre todo que está habilitado el check de requerir autenticación desde el Fortigate "Require authenticatedconnection from FortiGate", le ponemos una contraseña que será la que utilice para conectarse elfirewall a él. Pulsamos sobre "Apply" y después salimos "Save & close".


9 de 16 01/12/2007 1:11

Bien, para configurar el firewall y que trabaje tirando con el Directorio Activo, tenemos que logearnos al FW e ir en la parte de la izquierda a "User" > "Windows AD". Y pulsamos sobre "Create New" para conectarnos a un DA.


10 de 16 01/12/2007 1:11

En "FortiClient AD" pondremos el nombre del dominio, por ejemplo "bujarra.com" o el que sea, en "Server #1" (y sucesivamente) pondremos todos los controladres de dominio (catálogos globales),ponemos su IP y el puerto 8000 era el que estaba por defecto antes, ponemos una contraseña para quese pueda conectar a él, es la contraseña que configuramos antes en el FSAE, que en mi ejemplo era"123456". Repetimos este paso tantos controladores de dominio tengamos o querramos monotorizar sus logins, damos a "OK".


11 de 16 01/12/2007 1:11

Si refrescamos la pantalla, al actualizarla ya nos sacará todos los usuarios/grupos del Directorio activode mi dominio.


12 de 16 01/12/2007 1:11

Entonces, ya podemos crear un grupo de usuarios que sea del Directorio Activo. Es importante saber que esto no funcionaría por usuario, si no por grupo, si necesitamos hacer algo por usuario, esobligatorio que tengamos que crear un grupo. Bueno, en el menú de la izquierda para crear el grupo:"User" > "User Group" > y pulsamos sobre "Create New".


13 de 16 01/12/2007 1:11

Le ponemos un nombre en "Name" en mi caso GrupoAD, en "Type" ponemos "Active Directory", no tenemos por que asignarle ningún perfíl de protección. Y en "Avaliable Users" podemos escoger losusuarios que nos interesen meter en el grupo. Yo meto un grupo que tengo a todos los usuarios, lo pasamos a la parte de la derecha. Damos a "OK".


14 de 16 01/12/2007 1:11

Ahí tenemos nuestro grupo, ahora queda utilizarlo para las reglas que querramos.


15 de 16 01/12/2007 1:11

Por ejemplo, yo sólo quiero que navegen a internet los usuarios que sean de mi dominio, me iria a lasreglas en "Firewall" > "Policy" y edito la de internal a wan1.


16 de 16 01/12/2007 1:11

Dentro de la directiva, marco el check de "Authentication" y pongo "Active Directory", meto el grupo queacabo de crear y dando a "OK", sólo navegarían los usuarios que pertenezcan a ese grupo. Siendo ungrupo de usuarios de mi Active Directory ni les pedirá autenticación cuando navegen con su InternetExplorer/Mozilla... si no que coje la autenticación de forma automática. Si no trabajaríamos con gruposde usuarios del Directorio Activo es más pesado por que deberíamos de tener una BD de usuarios en elfirewall y sería peor por temas de "si un usuario cambia su contraseña de Windows...". Lo mejor estenerlo integrado todo con el Directorio Activo.

Documents

ProcedimientoFortigateFSAE