Ci-dessous la procédure à suivre afin de mettre en place la solution FSSO (Fortinet Single Sign-On) avec un agent collector sur un serveur AD (Active Directory), afin d'effectuer du filtrage identitaire sur vos règles de firewall.
Procédure réalisée sur un FortiGate 60F en 6.4.8 et l'agent FSSO en 5.0.0302.
Schéma :
Aller sur https://support.fortinet.com/ et télécharger la version de l'agent FSSO qui correspond à la version de votre FortiGate.
Exécuter le .exe sur votre serveur AD.
Cliquer sur "Next".
Cocher "I Accept the terms..." et cliquer sur "Next".
Cliquer sur "Next".
Indiquer un compte avec des droits administrateur sur le serveur AD et cliquer sur "Next".
Sélectionner le mode "Advanced" et cliquer sur "Next".
Cliquer sur "Install".
Patienter quelques secondes...
Cliquer sur "Finish".
Laisser les valeurs par défaut et cliquer sur "Suivant".
Collector Agent IP address : IP du serveur AD (car le collector est en local)
Collector Agent listening port : 8002
Sélectioner le domaine et cliquer sur "Suivant".
Indiquer les comptes où il ne faut pas surveiller les évéments de connexion.
Sélectioner le mode "DC Agent" et cliquer sur "Suivant".
Un redémarrage du serveur est nécessaire cliquer sur "Oui".
Cliquer sur "Terminer".
Le serveur redémarre...
Exécuter "Configure Fortinet Single Sign On..."
Mettre un mot de passe dans le champ "Password", ce mot de passe permettra de s'authentifier sur le FortiGate. Cliquer sur "Apply" puis "Save&close".
Attention ! Vérifier que le port TCP-8000 est bien en écoute sur le serveur (via la commande telnet par ex) , si ce n'est pas le cas désactiver le pare-feu Windows du serveur ou sinon ajouter la règle ci-dessous.
Aller sur le FortiGate dans User & Authentication > LDAP Servers.
Ajouter votre serveur LDAP comme ci-dessous et faite un test de connectivité en cliquant sur "Test Connectivity", une fois le test en succès cliquer sur "OK".
Retourner dans le LDAP serveur pour effectuer une recherche afin de vérifier que le FortiGate arrive bien à lire l'annuaire LDAP, cliquer sur "Browse".
Aller dans Security Fabric > External Connectors.
Cliquer sur "FSSO Agent on Windows AD".
Indiquer un nom, l'ip du serveur AD ou se trouve l'agent, le mot de passe saisie plus haut, le mode local et le serveur ldap créé ci-dessus. Cliquer ensuite sur "Edit".
Aller dans l'nglet "Groups" et sélectioner les groupes sur lesquels vous souhaitez effectuer du filtrage identitaire, faite un clique droit sur le groupe puis cliquer sur "Add Selected" puis cliquer sur "OK".
Le nombre de groupe sélectionné sera indiqué, cliquer ensuite sur "Apply & Refresh" puis "OK".
Vérifier l'état de la connexion vers l'agent.
Vert : OK
Rouge : KO
Si la connection est KO, il faudra surement indiquer une source-ip ou sinon le port TCP-8000 qui n'est pas en écoute sur le serveur AD(vérifier vos logs de traffic).
config user fsso
edit @NameFSSO
set source-ip @IP
end
end
exit
Aller dans User & Authentication > User Groups.
Créer un nouveau groupe d'utilisateur. Indiquer le nom du groupe, le type FSSO et sélectioner le groupe correspondant dans l'annuaire LDAP, puis cliquer sur "OK".
Aller dans Policy & Objects > Firewall Policy.
Créer une nouvelle règle avec votre groupe d'utilisateur en source (il faut aussi indiquer une plage ip ou sinon mettre all).
Ouvrir une session windows sur un ordinateur avec un utilisateur qui se trouve dans le groupe (si la session est déja ouverte il faut la fermer pusi la réouvrir afin que le collecteur puisse récupérer les informations (IP et LOGIN)).
Générer du traffic sur l'ordinateur.
Aller dans Dashboard > Firewall User Monitor (l'ajouter si besoin).
Votre utilisateur sera visible et vous aurez du traffic sur votre règle firewall.
Si vous disposez de plusieurs serveur AD, il faut déployer l'aggent FSSO et suivre les étapes ci-dessous :
Exécuter "Configure Fortinet Single Sign On..."
Aller dans "Sync Configuration With Other Agents".
Cocher "Sync with ..." et indiquer les IPs séparées par un ";" des autres serveurs AD ou l'agent est installé et cliquer sur "OK".
Cliquer sur "Apply" puis "Save&close"
Retourner sur le Firewall aller dans Security Fabric > External Connectors et ajouter les autres agents en cliquant sur le "+".
Pour plus d'informations :
https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/615946/agent-based-fsso-for-windows-ad
https://community.fortinet.com/t5/FortiGate/Technical-Tip-FSSO-choose-between-DC-Agent-mode-or-Polling-mode/ta-p/252651 https://community.fortinet.com/t5/FortiGate/Technical-Tip-Comparison-between-DC-Agent-mode-and-polling-mode/ta-p/194621