FortiGate - FSSO Agentless Polling mode

Ci-dessous la procédure à suivre afin de mettre en place la solution FSSO (Fortinet Single Sign-On) sans agent afin de poller un serveur AD (Active Directory) pour récupérer l'information IP/User pour d'effectuer du filtrage identitaire sur vos règles de firewall.

Procédure réalisée sur un FortiGate 60F en 6.4.8.

Bug connu #0633435 (FortiGate local FSSO agent replaces user login with same username and IP, which causes traffic sessions to be removed.)

Procéder à un upgrade en 7.0.12

Schéma :

• Aller sur le FortiGate dans User & Authentication > LDAP Servers.

• Ajouter votre serveur LDAP comme ci-dessous et faite un test de connectivité en cliquant sur "Test Connectivity", une fois le test en succès cliquer sur "OK".

• Retourner dans le LDAP serveur pour effectuer une recherche afin de vérifier que le FortiGate arrive bien à lire l'annuaire LDAP, cliquer sur "Browse".

• Aller dans Security Fabric > External Connectors.

• Cliquer sur "Poll Active Directory Server".

• Indiquer l'ip du serveur AD et l'User/Password disposant à minimum des droits de lecture sur les logs (Groupe AD : Event Log Readers) et le serveur ldap créé ci-dessus. Cliquer ensuite sur "Edit".

• Aller dans l'nglet "Groups" et sélectioner les groupes sur lesquels vous souhaitez effectuer du filtrage identitaire, faite un clique droit sur le groupe puis cliquer sur "Add Selected" puis cliquer sur "OK".

• Le nombre de groupe sélectionné sera indiqué, cliquer ensuite sur "OK".

• Vérifier l'état de la connexion.

• Aller dans User & Authentication > User Groups.

• Créer un nouveau groupe d'utilisateur. Indiquer le nom du groupe, le type FSSO et sélectioner le groupe correspondant dans l'annuaire LDAP, puis cliquer sur "OK".

• Aller dans Policy & Objects > Firewall Policy.

• Créer une nouvelle règle avec votre groupe d'utilisateur en source (il faut aussi indiquer une plage ip ou sinon mettre all).

• Ouvrir une session windows sur un ordinateur avec un utilisateur qui se trouve dans le groupe (si la session est déja ouverte il faut la fermer pusi la réouvrir afin que le collecteur puisse récupérer les informations (IP et LOGIN)).

• Générer du traffic sur l'ordinateur.

• Aller dans Dashboard > Firewall User Monitor (l'ajouter si besoin).

• Votre utilisateur sera visible et vous aurez du traffic sur votre règle firewall.

Pour plus d'informations :

https://community.fortinet.com/t5/FortiGate/Technical-Tip-FSSO-choose-between-DC-Agent-mode-or-Polling-mode/ta-p/252651

https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-troubleshoot-FSSO-agentless-polling/ta-p/214349

https://community.fortinet.com/t5/Support-Forum/Fortigate-FSSO-Polling/m-p/243213

https://community.fortinet.com/t5/FortiAuthenticator/Technical-Tip-Windows-event-IDs-used-by-FSSO-in-WinSec-polling/ta-p/189910?externalID=FD36424

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Comparing-the-limitations-of-an-FSSO-local-poller/ta-p/197980?externalID=FD38897

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Comparison-between-DC-Agent-mode-and-polling-mode/ta-p/194621