Configuracin de FSSO con la opcin Poll Active Directory Service El siguiente documento es una gua que permite configurar

la autenticacin de Single Sign-On (SSO) utilizando el cliente nativo del Fortigate en versin 5. El Escenario planteado incluye: 1 Fortigate VM, corriendo la versin 5.0.3 1 Windows Server 2003. Enterprise Edition SP2. (Corriendo los servicios de AD, DNS) 1 Windows XP SP2 El diagrama de conectividad es el siguiente:

The Power to Control

Se debe definir inicialmente el Servidor de AD, como un ldap Server. Para esto se recomienda crear una cuenta en el AD que permita el Fortigate realizar consultas al Directorio. Un punto importante en esta definicin es que el Usuario creado debe pertenecer al grupo Administrators para que pueda hacer Poll de los Security Events del AD, validando los eventos de Logon/Logoff del dominio. Recuerde que en el User DN, necesita el Distinguished Name de la cuenta creada.

A nivel de comandos tenemos lo siguiente: config user ldap edit "AD" set server "192.168.1.2" set cnid "sAMAccountName" set dn "DC=xtremeteam,DC=com" set type regular set username "cn=Fortigate Services,cn=Users,DC=xtremeteam,dc=com" set password ENC bC5jAB9wewyZYfJ/txQd06MbKfrSjlbqQP9zoTLLva+8eMB7+GD/2U2oC9QBsZDitKi LdDOWyCF2DHpW69Al91vygh95NlJlvTmvBuMuK8WqM43/W8vjaPkvRuYQz45J8q d9kK8k0wti1pz7HfJkt5ip3CIrKvp0F2XtNHBpQTXwbUqJIJxeRABBGUXB708fBaSVn w== next end

The Power to Control

Tome en cuenta que lo que nos interesa mapear con los grupos del Fortigate son los grupos de Seguridad de Windows. Por lo cual el administrador del Dominio debe haber creado grupos y asociados los usuarios con esos grupos. En este ejemplo son los grupos: group1 y group2. Y los usuarios User11,User14 estan asociados con el group1 y los usurios User21 y User24 con el group2.

The Power to Control

Recuerde validar que el Usuario creado para el Fortigate pertenezca al grupo Administrators.

Ya con estos parametros verificados, se procede a definir el Servidor Single Sign-On sin cliente instalado en los Servidores. Se coloca el user creado para el Fortigate y se escoje el servidor de LDAP para hacer el Query de los grupos.

The Power to Control

Lo siguiente es verificar que la configuracin se realiz de forma exitosa y que se puedan visualizar los grupos en el Tab de View Users/Groups. Note que la opcion de Status esta con el Check y en color verde.

Y los grupos escogidos se encuentran visibles.

The Power to Control

Como comentamos anteriormente, si el usuario del Fortigate no se encuentra en el grupo Administrators nos vamos a percatar que el Status del Servidor es desconocido y aparece de la siguiente forma removiendo el grupo de Administrators al usuario.

The Power to Control

Con estos pasos validados tambin podemos visualizar con comandos cual es el status de esta configuracin.

Note en la lnea most recent connection status: connected. Eso significa que la configuracin est bien. Luego de esto procedemos a crear los grupos en el Fortigate y a mapearlos con los grupos del AD.

The Power to Control

Con esto procedemos a crear la poltica que controlar la salida de estos 2 grupos.

Antes de proceder a realizar pruebas con las PCs, ejecute este comando para que los Logon de los usuarios comiencen a ser ledos por el Fortigate. FortiGate-VM64 # diagnose debug fsso-polling refresh-user 0 refresh completes. All logon users are obsolete. Please re-logon to make them available.

The Power to Control

Procedemos a probar que todo funcion segn lo pensado, realizando login en la estacin de trabajo de prueba.

Use el siguiente comando para validar que los Logons estn siendo leidos y que aparece el detalle de los grupos del AD. FortiGate-VM64 # diagnose debug enable FortiGate-VM64 # diagnose debug fsso-polling user FSSO: vd index(0), AD_Server(192.168.1.2), Users(1) IP: 192.168.1.20 Workstation: 192.168.1.20 User: XTREMETEAM/user11 Groups: CN=group1,CN=Users,DC=xtremeteam,DC=com Time: Sat Sep 7 10:23:34 2013 FortiGate-VM64 #

The Power to Control

Procedemos a revisar por el GUI tambin:

Y ya con esto podemos estar seguros que las polticas de Firewall estarn siendo aplicadas de forma correcta para los grupos del dominio.

The Power to Control

Qu pasa cuando el usuario de Servicio no puede pertenecer al grupo Administrators o Domain Administratrors? Para esto debemos solicitar al Administrador del servidor validar y realizar estos cambios para la cuenta de Servicio. En caso de no poder obtener un usuario Administrador del Controlador de Dominio o Administrador de Dominio, el mnimo permiso que dicho usuario requiere es: Manage auditing and Security log. Dicho permiso puede ser asignado directamente al usuario o a un grupo creado especficamente para ser asignado al usuario de fortigate. El Permiso se debe definir en los Settings o Configuraciones de Seguridad del Controlador de Dominio.

The Power to Control

Si queremos comprobar o demostrar al Administrador del Servidor que el cambio es necesario, podemos correr una captura de Sniffer y con Wireshark se puede ver fcilmente si el usuario tiene los permisos necesarios, haciendo una captura en el port 445

Observar las ltimas lneas

The Power to Control

Activando la auditoria de privilegios para Success y Failure en el AD es mas sencillo comprobar la falta del permiso para el usuario:

Se puede revisar en el Event Viewer si efectivamente el usuario tiene los privilegios necesarios:

The Power to Control

Abriendo el evento en si podemos confirmar que privilegio es el que le falta: SeSecurityPrivilege, el cual se obtiene mediante el permiso de Manage auditing and Security log

Se puede ver claramente que el usuario de servicios no tiene algn privilegio

The Power to Control

Con los permisos correctos el Event Viewer mostrara los eventos as:

The Power to Control

The Power to Control