Dziś opiszę konfigurację Fortimanager a dokładnie integrację z LDAP’em w celu autoryzacji administratorów. Naszym serwerem LDAP będzie Active Directory które posiadam w labie. Sama konfiguracja zostanie wykonana z poziomu GUI ale na końcu znajdziecie wynik konfiguracji z CLI.

Założenia

1. dane potrzebne do konfiguracji:
   

   Dane	Wartość
   nazwa	safekom.pl
   Server Name/IP	10.10.0.111
   Common Name Identifier	sAMAccountName
   Distinguished Name	DC=safekom,DC=pl
   User DN	CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
   passowrd	P@ssw0rd!
   attributes	member
   filter*	(&(objectclass=group)(member=%u))
   group	CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl

Konfiguracja

1. Logujemy się do Fortimanagera
   
2. Przechodzimy do System Settings
   
3. przechodzimy do konfiguracji Remote Authentication Server klikamy Create New wybieramy LDAP Server
   
4. W nowym oknie konfigurujemy serwer LDAP zgodnie z założeniami które są przedstawione na początku tego wpisu w tabelce
   
5. Zapisujemy ten fragment konfiguracji i przechodzimy do Administrators, gdzie konfigurujemy użytkownika który ma uprawnienia super user i uwierzytelnia się poprzez LDAP
   
6. zapisujemy konfigurację i przechodzimy do weryfikacji

Powyższa konfiguracja widoczna z poziomu CLI

1. Konfiguracja serwera LDAP
   
   Shell

   config system admin ldap edit "safekom.pl" set server "10.10.0.111" set cnid "sAMAccountName" set dn "DC=safekom,DC=pl" set type regular set username "CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl" set password ENC MzA1NTkwMTMzNTAxMjMwNmfdGccVihuXSNDq21A4BVmvXMA8oXIm46doF2rgIMtow282vk+qFBrARWtQf13QNTFqweJ4cU105ntCLiDO7aNTiptlMD3vjl68RB8CpwmeDZLoYAisqIIseIGM+AuoBwD9L5qApC+nVNZkyY7JmX6B7Nj0 set group "CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl" set filter "(&(objectclass=group)(member=%u))" set attributes "member" set adom "all_adoms" next end

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

   config system admin ldap     edit "safekom.pl"         set server "10.10.0.111"         set cnid "sAMAccountName"         set dn "DC=safekom,DC=pl"         set type regular         set username "CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"         set password ENC MzA1NTkwMTMzNTAxMjMwNmfdGccVihuXSNDq21A4BVmvXMA8oXIm46doF2rgIMtow282vk+qFBrARWtQf13QNTFqweJ4cU105ntCLiDO7aNTiptlMD3vjl68RB8CpwmeDZLoYAisqIIseIGM+AuoBwD9L5qApC+nVNZkyY7JmX6B7Nj0         set group "CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"         set filter "(&(objectclass=group)(member=%u))"         set attributes "member"             set adom "all_adoms"                 next end

2. Konfiguracja profilu użytkownika
   
   Shell

   config system admin user edit "user-ldap" set profileid "Super_User" set adom "all_adoms" set policy-package "all_policy_packages" set user_type ldap set ldap-server "safekom.pl" config meta-data edit "Contact Email" next edit "Contact Phone" next end set wildcard enable config dashboard edit 1 set name "System Information" set column 1 set refresh-interval 0 set tabid 1 set widget-type sysinfo next edit 2 set name "System Resources" set column 1 set refresh-interval 0 set tabid 1 set widget-type sysres set res-view-type real-time set res-cpu-display each next edit 3 set name "CLI Console" set column 1 set refresh-interval 0 set tabid 1 set widget-type jsconsole next edit 4 set name "License Information" set column 2 set refresh-interval 0 set tabid 1 set widget-type licinfo next edit 5 set name "Unit Operation" set column 2 set refresh-interval 0 set tabid 1 set widget-type sysop next edit 6 set name "Alert Message Console" set column 2 set refresh-interval 0 set tabid 1 set widget-type alert next end next end

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64

   config system admin user     edit "user-ldap"             set profileid "Super_User"             set adom "all_adoms"                         set policy-package "all_policy_packages"                     set user_type ldap         set ldap-server "safekom.pl"             config meta-data                 edit "Contact Email"                 next                 edit "Contact Phone"                 next             end         set wildcard enable             config dashboard                 edit 1                     set name "System Information"                     set column 1                     set refresh-interval 0                     set tabid 1                     set widget-type sysinfo                 next                 edit 2                     set name "System Resources"                     set column 1                     set refresh-interval 0                     set tabid 1                     set widget-type sysres                     set res-view-type real-time                     set res-cpu-display each                 next                 edit 3                     set name "CLI Console"                     set column 1                     set refresh-interval 0                     set tabid 1                     set widget-type jsconsole                 next                 edit 4                     set name "License Information"                     set column 2                     set refresh-interval 0                     set tabid 1                     set widget-type licinfo                 next                 edit 5                     set name "Unit Operation"                     set column 2                     set refresh-interval 0                     set tabid 1                     set widget-type sysop                 next                 edit 6                     set name "Alert Message Console"                     set column 2                     set refresh-interval 0                     set tabid 1                     set widget-type alert                 next             end     next end

*) Uwaga moja do konfiguracji

Wkonfiguracji pojawia się pole filter które według KB wygląda tak: (&(objectcategory=group)(member=*)) po wielu próbach i analizowaniu filtrów ldap zadziałał mi filtr w postaci: (&(objectcategory=group)(member=%u))

Weryfikacja

Wykonujemy próbę zalogowania się użytkownikiem michal który należy do grupy FMG-admin

po prawnym zalogowaniu zobaczymy

Tak jak widać udało się poprawnie zalogować co potwierdzaja log systemowy: