(FortiGate)飞塔防火墙使用LDAP和FSSO代理进行单点登录
2018-02-02 17:01
1151 查看
案例中使用FSSO和Windows DC LDAP服务器的认证进行用户身份的校验来控制网络访问的权限。
1. 在FortiGate防火墙上配置Windows DC LDAP服务器
找到User & Device > LDAP Servers配置具体的LDAP内容
2. 在Windows DC服务器上安装FSSO的代理软件
按照软件安装的向导一步步操作安装
输入Windows AD管理员administrator的密码
选择Advanced
在Collector Agent IP address的地方填写Windows AD server对应的IP地址,端口号8002
选择需要做监控的域名
选择哪些你不需要做监控的用户名
在Working Mode的选项处选择DC Agent Mode.
重启域控制器
重启后,代理软件就可以开始正常运行
勾选Require authenticated connection from FortiGate的选项并输入和防火墙联动的密码
3. 在FortiGate防火墙上配置Single Sign-On
找到User & Device > Single Sign-On然后创建一个新的SSO server
在Groups的选项中, 选择相应需要监控的用户,下图中选择了"FortiOS Writers"这个组
4. 在FortiGate防火墙中增加一个用户组
找到User & Device > User Groups创建一个新的FSSO用户组
在Members的选项中选择"FortiOS Writers" 这个组
5. 在FortiGate防火墙中添加相应的策略
找到Policy & Objects > IPv4 Policy 创建一条新的策略,允许"FortiOS_Writers"在安全的认证情况下浏览网页
默认的网页安全过滤Profile将被调用
9. 结果
在FSSO的代理软件上,我们可以看到通过SSO认证上来的相应用户
登录防火墙,通过CLI命令行输入以下命令,查看用户FSSO的认证情况
diagnose debug authd fsso list
----FSSO logons----
IP: 10.10.20.3 User: ADMINISTRATOR Groups: CN=FORTIOS
WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation:
WIN2K8R2.TECHDOC.LOCAL MemberOf: FortiOS_Writers
IP: 10.10.20.7 User: TELBAR Groups: CN=FORTIOS
WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation:
TELBAR-PC7.TECHDOC.LOCAL MemberOf: FortiOS_Writers
Total number of logons listed: 2, filtered: 0
----end of FSSO logons----
也可以在防火墙的Web页面上找到Monitor >Firewall User Monitor的选项来查看FSSO用户认证信息
找到Log & Report > Forward Traffic的选项,可以查看到对应FSSO用户浏览网页的日志记录
选择某一条日志双击可以看到具体的日志内容
相关文章推荐
- 使用Spring的LdapTemplate进行LDAP操作
- 使用模态框进行登录
- 使用 squid 2.7 for windows 进行无缓存反向代理
- 最新最详细明白的unity3d 和sharesdk 进行登录分享使用过程
- 使用代理上网时进行apt相关更新命令出错的解决方法
- 一天一点T-SQL:使用登录触发器进行安全管控
- ubuntu下使用ckermit对s3c2440开发板进行远程登录与文件传输
- Cas(07)——建立使用Cas进行单点登录的应用
- 在基于vue的webpack脚手架开发中使用了代理转发,结果浏览器发出的请求中不带cookie导致登录时总是session失效怎么办?
- 使用Servlet进行用户登录(六)
- Android 使用HttpGet进行登录
- 使用shiro进行系统身份验证-权限控制,登录界面乱跳
- 单点登录(五)cas改造——使用jdbc进行用户验证
- Google浏览器使用代理,登录浏览器google账户时崩溃的解决方法
- Unity3D 使用ShareSDK进行QQ授权登录
- 使用unity 5.3版本以上 自带Json解析器与后台进行登录验证。
- 使用模态框进行登录
- 使用springmvc拦截器进行登录控制
- 使用linux expect进行ssh和telnet自动化登录等操作