Fortimanager integracja z LDAP

Dziś opiszę konfigurację Fortimanager a dokładnie integrację z LDAP’em w celu autoryzacji administratorów. Naszym serwerem LDAP będzie Active Directory które posiadam w labie. Sama konfiguracja zostanie wykonana z poziomu GUI ale na końcu znajdziecie wynik konfiguracji z CLI.

Założenia
  1. dane potrzebne do konfiguracji:
    Dane Wartość
    nazwa safekom.pl
    Server Name/IP 10.10.0.111
    Common Name Identifier sAMAccountName
    Distinguished Name DC=safekom,DC=pl
    User DN CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
    passowrd P@ssw0rd!
    attributes member
    filter* (&(objectclass=group)(member=%u))
    group CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
Konfiguracja
  1. Logujemy się do Fortimanagera
    Login panel
  2. Przechodzimy do System Settings
    main page fmg
  3. przechodzimy do konfiguracji Remote Authentication Server klikamy Create New wybieramy LDAP Server
    add ldap server
  4. W nowym oknie konfigurujemy serwer LDAP zgodnie z założeniami które są przedstawione na początku tego wpisu w tabelce
    ldap server config Fortimanager integracja z LDAP
  5. Zapisujemy ten fragment konfiguracji i przechodzimy do Administrators, gdzie konfigurujemy użytkownika który ma uprawnienia super user i uwierzytelnia się poprzez LDAP
  6. zapisujemy konfigurację i przechodzimy do weryfikacji
Powyższa konfiguracja widoczna z poziomu CLI
  1. Konfiguracja serwera LDAP
    config system admin ldap
        edit "safekom.pl"
            set server "10.10.0.111"
            set cnid "sAMAccountName"
            set dn "DC=safekom,DC=pl"
            set type regular
            set username "CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"
            set password ENC MzA1NTkwMTMzNTAxMjMwNmfdGccVihuXSNDq21A4BVmvXMA8oXIm46doF2rgIMtow282vk+qFBrARWtQf13QNTFqweJ4cU105ntCLiDO7aNTiptlMD3vjl68RB8CpwmeDZLoYAisqIIseIGM+AuoBwD9L5qApC+nVNZkyY7JmX6B7Nj0
            set group "CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"
            set filter "(&(objectclass=group)(member=%u))"
            set attributes "member"
                set adom "all_adoms"             
        next
    end
  2. Konfiguracja profilu użytkownika
    config system admin user
        edit "user-ldap"
                set profileid "Super_User"
                set adom "all_adoms"             
                set policy-package "all_policy_packages"             
            set user_type ldap
            set ldap-server "safekom.pl"
                config meta-data
                    edit "Contact Email"
                    next
                    edit "Contact Phone"
                    next
                end
            set wildcard enable
                config dashboard
                    edit 1
                        set name "System Information"
                        set column 1
                        set refresh-interval 0
                        set tabid 1
                        set widget-type sysinfo
                    next
                    edit 2
                        set name "System Resources"
                        set column 1
                        set refresh-interval 0
                        set tabid 1
                        set widget-type sysres
                        set res-view-type real-time 
                        set res-cpu-display each
                    next
                    edit 3
                        set name "CLI Console"
                        set column 1
                        set refresh-interval 0
                        set tabid 1
                        set widget-type jsconsole
                    next
                    edit 4
                        set name "License Information"
                        set column 2
                        set refresh-interval 0
                        set tabid 1
                        set widget-type licinfo
                    next
                    edit 5
                        set name "Unit Operation"
                        set column 2
                        set refresh-interval 0
                        set tabid 1
                        set widget-type sysop
                    next
                    edit 6
                        set name "Alert Message Console"
                        set column 2
                        set refresh-interval 0
                        set tabid 1
                        set widget-type alert
                    next
                end
        next
    end
*) Uwaga moja do konfiguracji

Wkonfiguracji pojawia się pole filter które według KB wygląda tak: (&(objectcategory=group)(member=*)) po wielu próbach i analizowaniu filtrów ldap zadziałał mi filtr w postaci: (&(objectcategory=group)(member=%u))

Weryfikacja

Wykonujemy próbę zalogowania się użytkownikiem michal który należy do grupy FMG-admin

po prawnym zalogowaniu zobaczymy

Tak jak widać udało się poprawnie zalogować co potwierdzaja log systemowy:

2020-03-19 12:00:12
information
michal-GUI(10.10.0.2)
System manager event
User login/logout successful
User 'michal' with profile 'Super_User' login accepted from GUI(10.10.0.2).

Pasjonat komputerowy od zawsze oraz maniak w zakresie sieci, wirtualizacji oraz bezpieczeństwa IT. Kompetentny inżynier z dużym doświadczeniem w realizacji projektów informatycznych i telekomunikacyjnych. Wieloletni administrator IT, który utrzymuje systemy informatyczne dostosowując je do wymogów biznesowych z zapewnieniem dostępności 24/7/365.
Posts created 126

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top