Настройка FSSO Polling Mode на FortiGate.

FortiGate и FSSO Polling Mode

План:

1. Создать сервисную учетную запись
2. Назначить права для чтения событий
3. Настроить FSSO на FortiGate
4. Создать правило политики используя FSSO группу
5. Протестировать прозрачную авторизацию пользователей.

Детали по лабораторному стенду:

• FortiGate VM 5.6.3
• Port1: 172.16.2.225
• Port2: 10.70.0.1
• Domain Controller на Windows Server 2008 R2
• IP: 10.70.0.2
• Client Windows 7
• IP: 10.70.0.10

Сервисная учетная запись

Создать сервисную учетную запись

1. На доменном контроллере создайте учетную запись svc-fortinet@ns-lab.ru

Group Policy Management

1. На доменном контроллере откройте Group Policy Management. Воспользуйтесь командой gpmc.msc.
2. Перейдите во вкладку Domain > Domain Name > Domain Controllers
3. Правой кнопкой мыши нажмите на Default Domain Controllers Policy, нажать Edit...
4. Откроется новое окно Group Policy Management Editor.
   
5. Перейдите во вкладку Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
6. В правой области окна двойным кликом мыши нажмите на Manage auditing and security log.
7. Нажмите на Add User or Group… и добавьте сервисную учетную запись svc-fortinet, нажмите ОК и закройте окна Group Policy Management.
   

Windows Management Instrumentation

1. На доменном контроллере откройте WMI Control. Воспользуйтесь командой wmimgmt.msc
2. Нажмите правой кнопкой мыши на WMI Control (Local), выберите Properties
3. В новом появившемся окне WMI Control (Local) Properties перейдите во вкладку Security.
4. Перейдите во вкладку Root > CIMV2 > Security, нажмите Security.
   
5. В новом появившемся окне нажмите Add… и добавьте сервисную учетную запись svc-fortinet.
6. В области Permissions for Service Fortinet включите опцию «Execute Methods». Нажмите ОК.
   
7. Закройте окно WMI Control.

Настройка FSSO

Интеграция с LDAP Server

1. Подключитесь на веб-интерфейс FortiGate:
2. Перейдите во вкладку User & Device > LDAP Servers, нажмите Create New.
   

Настройка FSSO

1. Перейдите во вкладку User & Device > Single-Sing On, нажмите Create New.
   
2. Убедитесь, что Status – Connected.

Группа FSSO

1. Перейдите во вкладку User & Device > User Groups, нажмите Create New.
2. Тип группы укажите Fortinet Single Sing-On (FSSO)
3. Перейдите во вкладку User & Device > User Definition, нажмите Create New.
4. Пройдите Users/Groups Creation Wizard
5. Выбрать тип группы FSSO
6. Выбрать FSSO Agent и добавить доменную группу.
7. Добавьте доменную группу в FSSO группу.

Правила политик IPv4

1. Измените правило и добавьте в Source группу My_FSSO_Group.
2.  Добавьте доменную группу в FSSO группу.