
Dziś opiszę konfigurację Fortimanager a dokładnie integrację z LDAP’em w celu autoryzacji administratorów. Naszym serwerem LDAP będzie Active Directory które posiadam w labie. Sama konfiguracja zostanie wykonana z poziomu GUI ale na końcu znajdziecie wynik konfiguracji z CLI.
Założenia
- dane potrzebne do konfiguracji:
Dane Wartość nazwa safekom.pl Server Name/IP 10.10.0.111 Common Name Identifier sAMAccountName Distinguished Name DC=safekom,DC=pl User DN CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl passowrd P@ssw0rd! attributes member filter* (&(objectclass=group)(member=%u)) group CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
Konfiguracja
- Logujemy się do Fortimanagera
- Przechodzimy do System Settings
- przechodzimy do konfiguracji Remote Authentication Server klikamy Create New wybieramy LDAP Server
- W nowym oknie konfigurujemy serwer LDAP zgodnie z założeniami które są przedstawione na początku tego wpisu w tabelce
- Zapisujemy ten fragment konfiguracji i przechodzimy do Administrators, gdzie konfigurujemy użytkownika który ma uprawnienia super user i uwierzytelnia się poprzez LDAP
- zapisujemy konfigurację i przechodzimy do weryfikacji
Powyższa konfiguracja widoczna z poziomu CLI
- Konfiguracja serwera LDAP
12345678910111213141516config system admin ldapedit "safekom.pl"set server "10.10.0.111"set cnid "sAMAccountName"set dn "DC=safekom,DC=pl"set type regularset username "CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"set password ENC MzA1NTkwMTMzNTAxMjMwNmfdGccVihuXSNDq21A4BVmvXMA8oXIm46doF2rgIMtow282vk+qFBrARWtQf13QNTFqweJ4cU105ntCLiDO7aNTiptlMD3vjl68RB8CpwmeDZLoYAisqIIseIGM+AuoBwD9L5qApC+nVNZkyY7JmX6B7Nj0set group "CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"set filter "(&(objectclass=group)(member=%u))"set attributes "member"set adom "all_adoms"nextend - Konfiguracja profilu użytkownika
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364config system admin useredit "user-ldap"set profileid "Super_User"set adom "all_adoms"set policy-package "all_policy_packages"set user_type ldapset ldap-server "safekom.pl"config meta-dataedit "Contact Email"nextedit "Contact Phone"nextendset wildcard enableconfig dashboardedit 1set name "System Information"set column 1set refresh-interval 0set tabid 1set widget-type sysinfonextedit 2set name "System Resources"set column 1set refresh-interval 0set tabid 1set widget-type sysresset res-view-type real-timeset res-cpu-display eachnextedit 3set name "CLI Console"set column 1set refresh-interval 0set tabid 1set widget-type jsconsolenextedit 4set name "License Information"set column 2set refresh-interval 0set tabid 1set widget-type licinfonextedit 5set name "Unit Operation"set column 2set refresh-interval 0set tabid 1set widget-type sysopnextedit 6set name "Alert Message Console"set column 2set refresh-interval 0set tabid 1set widget-type alertnextendnextend
*) Uwaga moja do konfiguracji
Wkonfiguracji pojawia się pole filter które według KB wygląda tak: (&(objectcategory=group)(member=*)) po wielu próbach i analizowaniu filtrów ldap zadziałał mi filtr w postaci: (&(objectcategory=group)(member=%u))
Weryfikacja
Wykonujemy próbę zalogowania się użytkownikiem michal który należy do grupy FMG-admin
po prawnym zalogowaniu zobaczymy
Tak jak widać udało się poprawnie zalogować co potwierdzaja log systemowy:
1 2 3 4 5 6 7 8 |
2020-03-19 12:00:12 information michal-GUI(10.10.0.2) System manager event User login/logout successful User 'michal' with profile 'Super_User' login accepted from GUI(10.10.0.2). |