Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Fortigate - FSAE - Conector Directorio Activo

FSAE - Fortinet Server Authentication Extension, Si queremos integrar el firewall con nuestro Directorio Activo (Active Directory - AD), para que no tengamos que usar siempre usuarios locales, si no aprovechar los que tiene la base de datos de los controladores de dominio, usaremos una herramienta llamada FSAE. En este procedimiento se explica, cmo instalar el FSAE, cmo configurar los controladores de dominio y el firewall, despus crearemos una poltica y slo navegarn por internet (o la regla que nos interese) los usuarios del directorio activo.

Lo primero es descargar dicha herramienta, podemos hacerlo de AKI. Empezamos a instalarla y nos saldr un asistente tpico, podemos instalarla en cualquier PC, esto luego nos instalar unos agentes de forma remota en los controladores de dominio para sacar informacin de los usuarios que tiene la BD del AD, yo recomiendo dejarlo instalado en un controlador de dominio. Pulsamos sobre "Next",

1 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Ese es path por defecto, "Next"

Nos pide un usuario y una contrasea con permisos para iniciar los servicios del FSAE, metemos uno con permisos, normalmente el administrador de dominio, "Next",

2 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

"Install" para que comienze a instalarlo,

...

3 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Vale, marcamos el check de "Launch DC Agent Install Wizard" para que comienze a instalar los agentes en los controladores de dominio, para colectar informacin de los usuarios y sus hashes para el tema de las contraseas, "Finish",

Vale, metemos la IP del agente que tendr la informacin de la BD de AD, la de un controlador de dominio, el puerto por defecto sera el 8002, damos a "Siguiente",

4 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Vale, nos detecta nuestro dominio y pulsamos sobre "Siguiente",

Nos muestra todas las cuentas de usuario que hay en nuestro Directorio Activo, lo normal es monotorizar todas las cuentas del DA, pero podemos marcar las que NO queremos que nos analice, despus le damos a "Siguiente",

5 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Nos detecta los dos controladores que tengo en mi dominio y en los dos monotorizar los logins para que el FSAE funcione perfectamente, marcamos ambos para que se isntale el agente en ellos. "Siguiente",

Vale, indica que est bien instalado en el primer domain controller, habra que reiniciar para que empiece a funcionar, cuando podamos lo hacemos.

Lo mismo, en el segundo controlador de dominio tambin lo ha instalado perfectamente, lo reiniciamos cuando podamos.

6 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

"Finalizar"

Una vez reiniciados, abrimos la consola "Configure FSAE"

7 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Nos salen los dos controladores de dominio de los cuales se estn monotorizando los logins para recolectar sus passwords de los usuarios, comprobamos que los puertos son el 8000 y el 8002, y sobre todo que est habilitado el check de requerir autenticacin desde el Fortigate "Require authenticated connection from FortiGate", le ponemos una contrasea que ser la que utilice para conectarse el firewall a l. Pulsamos sobre "Apply" y despus salimos "Save & close".

8 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Bien, para configurar el firewall y que trabaje tirando con el Directorio Activo, tenemos que logearnos al FW e ir en la parte de la izquierda a "User" > "Windows AD". Y pulsamos sobre "Create New" para conectarnos a un DA.

9 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

En "FortiClient AD" pondremos el nombre del dominio, por ejemplo "bujarra.com" o el que sea, en "Server #1" (y sucesivamente) pondremos todos los controladres de dominio (catlogos globales), ponemos su IP y el puerto 8000 era el que estaba por defecto antes, ponemos una contrasea para que se pueda conectar a l, es la contrasea que configuramos antes en el FSAE, que en mi ejemplo era "123456". Repetimos este paso tantos controladores de dominio tengamos o querramos monotorizar sus logins, damos a "OK".

10 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Si refrescamos la pantalla, al actualizarla ya nos sacar todos los usuarios/grupos del Directorio activo de mi dominio.

11 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Entonces, ya podemos crear un grupo de usuarios que sea del Directorio Activo. Es importante saber que esto no funcionara por usuario, si no por grupo, si necesitamos hacer algo por usuario, es obligatorio que tengamos que crear un grupo. Bueno, en el men de la izquierda para crear el grupo: "User" > "User Group" > y pulsamos sobre "Create New".

12 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Le ponemos un nombre en "Name" en mi caso GrupoAD, en "Type" ponemos "Active Directory", no tenemos por que asignarle ningn perfl de proteccin. Y en "Avaliable Users" podemos escoger los usuarios que nos interesen meter en el grupo. Yo meto un grupo que tengo a todos los usuarios, lo pasamos a la parte de la derecha. Damos a "OK".

13 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Ah tenemos nuestro grupo, ahora queda utilizarlo para las reglas que querramos.

14 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Por ejemplo, yo slo quiero que navegen a internet los usuarios que sean de mi dominio, me iria a las reglas en "Firewall" > "Policy" y edito la de internal a wan1.

15 de 16

01/12/2007 1:11

Fortigate - FSAE - Fortinet Server Authentication Extension

http://www.bujarra.com/ProcedimientoFortigateFSAE.html

Dentro de la directiva, marco el check de "Authentication" y pongo "Active Directory", meto el grupo que acabo de crear y dando a "OK", slo navegaran los usuarios que pertenezcan a ese grupo. Siendo un grupo de usuarios de mi Active Directory ni les pedir autenticacin cuando navegen con su Internet Explorer/Mozilla... si no que coje la autenticacin de forma automtica. Si no trabajaramos con grupos de usuarios del Directorio Activo es ms pesado por que deberamos de tener una BD de usuarios en el firewall y sera peor por temas de "si un usuario cambia su contrasea de Windows...". Lo mejor es tenerlo integrado todo con el Directorio Activo.

16 de 16

01/12/2007 1:11