Fortimanager integracja z LDAP

Dziś opiszę konfigurację Fortimanager a dokładnie integrację z LDAP’em w celu autoryzacji administratorów. Naszym serwerem LDAP będzie Active Directory które posiadam w labie. Sama konfiguracja zostanie wykonana z poziomu GUI ale na końcu znajdziecie wynik konfiguracji z CLI.

Założenia
  1. dane potrzebne do konfiguracji:
    Dane Wartość
    nazwa safekom.pl
    Server Name/IP 10.10.0.111
    Common Name Identifier sAMAccountName
    Distinguished Name DC=safekom,DC=pl
    User DN CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
    passowrd P@ssw0rd!
    attributes member
    filter* (&(objectclass=group)(member=%u))
    group CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
Konfiguracja
  1. Logujemy się do Fortimanagera
    Login panel
  2. Przechodzimy do System Settings
    main page fmg
  3. przechodzimy do konfiguracji Remote Authentication Server klikamy Create New wybieramy LDAP Server
    add ldap server
  4. W nowym oknie konfigurujemy serwer LDAP zgodnie z założeniami które są przedstawione na początku tego wpisu w tabelce
    ldap server config Fortimanager integracja z LDAP
  5. Zapisujemy ten fragment konfiguracji i przechodzimy do Administrators, gdzie konfigurujemy użytkownika który ma uprawnienia super user i uwierzytelnia się poprzez LDAP
  6. zapisujemy konfigurację i przechodzimy do weryfikacji
Powyższa konfiguracja widoczna z poziomu CLI
  1. Konfiguracja serwera LDAP
  2. Konfiguracja profilu użytkownika
*) Uwaga moja do konfiguracji

Wkonfiguracji pojawia się pole filter które według KB wygląda tak: (&(objectcategory=group)(member=*)) po wielu próbach i analizowaniu filtrów ldap zadziałał mi filtr w postaci: (&(objectcategory=group)(member=%u))

Weryfikacja

Wykonujemy próbę zalogowania się użytkownikiem michal który należy do grupy FMG-admin

po prawnym zalogowaniu zobaczymy

Tak jak widać udało się poprawnie zalogować co potwierdzaja log systemowy: