Dziś opiszę konfigurację Fortimanager a dokładnie integrację z LDAP’em w celu autoryzacji administratorów. Naszym serwerem LDAP będzie Active Directory które posiadam w labie. Sama konfiguracja zostanie wykonana z poziomu GUI ale na końcu znajdziecie wynik konfiguracji z CLI.
Założenia
- dane potrzebne do konfiguracji:
Dane Wartość nazwa safekom.pl Server Name/IP 10.10.0.111 Common Name Identifier sAMAccountName Distinguished Name DC=safekom,DC=pl User DN CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl passowrd P@ssw0rd! attributes member filter* (&(objectclass=group)(member=%u)) group CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
Konfiguracja
- Logujemy się do Fortimanagera
- Przechodzimy do System Settings
- przechodzimy do konfiguracji Remote Authentication Server klikamy Create New wybieramy LDAP Server
- W nowym oknie konfigurujemy serwer LDAP zgodnie z założeniami które są przedstawione na początku tego wpisu w tabelce
- Zapisujemy ten fragment konfiguracji i przechodzimy do Administrators, gdzie konfigurujemy użytkownika który ma uprawnienia super user i uwierzytelnia się poprzez LDAP
- zapisujemy konfigurację i przechodzimy do weryfikacji
Powyższa konfiguracja widoczna z poziomu CLI
- Konfiguracja serwera LDAP
config system admin ldap edit "safekom.pl" set server "10.10.0.111" set cnid "sAMAccountName" set dn "DC=safekom,DC=pl" set type regular set username "CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl" set password ENC MzA1NTkwMTMzNTAxMjMwNmfdGccVihuXSNDq21A4BVmvXMA8oXIm46doF2rgIMtow282vk+qFBrARWtQf13QNTFqweJ4cU105ntCLiDO7aNTiptlMD3vjl68RB8CpwmeDZLoYAisqIIseIGM+AuoBwD9L5qApC+nVNZkyY7JmX6B7Nj0 set group "CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl" set filter "(&(objectclass=group)(member=%u))" set attributes "member" set adom "all_adoms" next end
- Konfiguracja profilu użytkownika
config system admin user edit "user-ldap" set profileid "Super_User" set adom "all_adoms" set policy-package "all_policy_packages" set user_type ldap set ldap-server "safekom.pl" config meta-data edit "Contact Email" next edit "Contact Phone" next end set wildcard enable config dashboard edit 1 set name "System Information" set column 1 set refresh-interval 0 set tabid 1 set widget-type sysinfo next edit 2 set name "System Resources" set column 1 set refresh-interval 0 set tabid 1 set widget-type sysres set res-view-type real-time set res-cpu-display each next edit 3 set name "CLI Console" set column 1 set refresh-interval 0 set tabid 1 set widget-type jsconsole next edit 4 set name "License Information" set column 2 set refresh-interval 0 set tabid 1 set widget-type licinfo next edit 5 set name "Unit Operation" set column 2 set refresh-interval 0 set tabid 1 set widget-type sysop next edit 6 set name "Alert Message Console" set column 2 set refresh-interval 0 set tabid 1 set widget-type alert next end next end
*) Uwaga moja do konfiguracji
Wkonfiguracji pojawia się pole filter które według KB wygląda tak: (&(objectcategory=group)(member=*)) po wielu próbach i analizowaniu filtrów ldap zadziałał mi filtr w postaci: (&(objectcategory=group)(member=%u))
Weryfikacja
Wykonujemy próbę zalogowania się użytkownikiem michal który należy do grupy FMG-admin
po prawnym zalogowaniu zobaczymy
Tak jak widać udało się poprawnie zalogować co potwierdzaja log systemowy:
2020-03-19 12:00:12 information michal-GUI(10.10.0.2) System manager event User login/logout successful User 'michal' with profile 'Super_User' login accepted from GUI(10.10.0.2).