【认证篇 / 远程】(7.0) ❀ 06. FSSO 单点登录 (上) ❀ FortiGate 防火墙

飞塔老梅子

已于 2022-08-02 09:34:04 修改

阅读量2.8k

点赞数 2

分类专栏： # 远程文章标签： FSSO 单点登录轮询域活动目录

于 2022-05-05 14:56:19 首次发布

本文链接：https://blog.csdn.net/meigang2012/article/details/124584442

版权

远程专栏收录该内容

11 篇文章 6 订阅

订阅专栏

　　【简介】Fortinet单点登录(FSSO)有两种模式：DC代理模式和轮询模式，DC代理模式安装复杂，但是可以捕获所有登录，轮询模式安装简单甚至不需要安装，但是可能会错过登录信息或有延迟，那么选哪个好呢？

FSSO概述

　　通过安装在这些网络上的代理软件，FortiOS可以为Windows AD、Citrix、VMware Horizon、Novell eDirectory和Microsoft Exchange用户提供单点登录功能。代理软件将用户登录信息发送到FortiGate防火墙。有了来自网络的用户信息，如IP地址和用户组成员关系，FortiGate安全策略可以允许通过身份验证的网络访问属于适当用户组的用户，而无需再次请求他们的凭证。

　　Fortinet单点登录(FSSO)，通过安装在网络上的代理，监视用户登录，并将信息传递给FortiGate防火墙。当用户在被监控域的工作站上登录时，FSSO：

　　● 检测登录事件并记录工作站名称、域和用户。

　　● 将工作站名解析为IP地。

　　● 确定用户所属的用户组。

　　● 向FortiGate防火墙发送用户登录信息，包括IP地址和组列表。

　　● 在FortiGate防火墙上为该登录事件创建一个或多个日志条目。

　　当用户试图访问网络资源时，FortiGate防火墙为目的地选择适当的安全策略。如果用户属于与该策略关联的允许用户组之一，则允许连接，否则连接被拒绝。

　　基于代理FSSO

　　几种不同的FSSO代理可以在一个FSSO实现中使用：

　　● 域控制器 (DC) 代理

　　● eDirectory 代理

　　● Citrix/Terminal服务器 (TS) 代理

　　● 收集器代理

　　域控制器代理：使用DC代理模式时，必须在每个域控制器上安装DC代理。DC代理监视用户登录事件并将信息传递给收集器代理，收集器代理存储信息并将其发送给FortiGate单元。

　　eDirecotry代理：eDirectory代理安装在Novell网络上，用于监控用户登录并向FortiGate单元发送所需信息。它的功能非常类似于Windows AD域控制器上的收集器代理。代理可以使用Novell API或LDAP从Novell eDirectory获取信息。

　　终端服务器代理：终端服务器 (TS) 代理可以安装在Citrix、VMware Horizon 7.4或Windows Terminal Server上，实时监控用户登录情况。它的功能非常类似于Windows AD域控制器上的DC Agent。

　　收集器代理：收集器代理 (CA) 是作为服务安装在Windows AD网络中的一台服务器上，用于监控用户登录情况，并向FortiGate防火墙发送所需信息。收集器代理可以收集DC代理 (Windows AD)和TS代理 (Citrix或VMware Horizon Terminal Server)的信息。

　　在Windows AD组网中，收集器代理可以通过轮询AD域控制器来获取登录信息。在这种情况下，不需要DC代理。

　　CA负责DNS查找、组验证、工作站检查和登录记录上的FortiGates更新。FSSO CA向FortiGate防火墙发送“Domain Local Security Group”和“Global Security Group”信息。CA通过TCP端口8000与FortiGate通信，并在UDP端口8002上侦听来自DC代理的更新。

　　FortiGate设备最多可以配置5个CA以实现冗余。如果列表中的第一个CA不可访问，则尝试下一个CA，以此类推，直到联系到一个CA为止。所有DC代理都必须指向具有多个DC的域上正确的CA端口号和IP地址。

　　无代理FSSO

　　对于Windows AD网络，FortiGate防火墙还可以通过直接轮询Windows DC上的Windows安全事件日志条目来提供SSO功能，以获取用户登录信息。此配置不需要CA或DC代理。

FortiGate 配置

　　在FortiGate上配置FSSO，请执行Security Fabric > External Connectors。在创建新连接器时，端点/身份下有几个连接器选项：

　　Fortinet单点登录代理：对于大多数基于FSSO代理的部署，将使用此连接器选项。指定收集器代理或本地作为用户组源，从收集器代理或LDAP服务器中收集用户组。

　　Symantec终端保护：该连接器使用来自Symantec终端保护管理器(SEPM)的客户端IP信息在FortiOS上分配动态IP地址。

　　活动目录服务器：此连接选项直接轮询Windows DC上的Windows安全事件日志项，以获取用户登录信息。

　　RADIUS单点登录代理：通过监控RADIUS服务器转发给FortiGate的RADIUS计费记录，FortiGate可以对已在远端RADIUS服务器上通过认证的用户进行认证。

　　Exchange服务器：FortiGate从企业Exchange服务器收集认证用户的信息。

FSSO轮询连接器代理安装

　　这里以在FortiGate上配置本地FSSO代理为例。代理在Windows域控制器(DC)上主动集中Windows安全事件日志项，用于用户登录信息。FSSO用户组可以用于防火墙策略中。

　　这种方法不需要任何额外的软件组件，所有的配置都可以在FortiGate上完成。

　　在FortiGate上配置本地FSSO代理。

　　① 在FortiGate上配置LDAP服务器。具体配置说明见 验证篇(7.0) 04. FortiGate防火墙与域服务器LDAP连接 ❀ 飞塔 (Fortinet) 防火墙。

　　② 选择菜单【Security Fabric】-【外部连接器】，点击【新建】。

　　③ 选择【活动目录服务器】。

　　④ 填写所需的信息。需要administrator帐号，其它帐号权限不够。对于LDAP服务器，选择前面创建的服务器。点击用户、组后面的【编辑】。

　　⑤ 弹出窗口显示域服务器的具体信息，默认显示所有用户，点击【组】。

　　⑥ 选择所需的组，右键单击它们，然后选择【添加已选】。按住CTRL或SHIFT键可以同时选择多个组。组列表可以过滤或搜索，以限制显示的组的数量。

　　⑦ 单击【已选的】页签，确认列出了所需的组。要删除分组，右键单击并选择【移除已选】。单击【确定】保存群组设置。

　　⑧ 显示有两个已选用户组，点击【确认】。

　　⑨ Active Directory连接器建立完成。Active Directory连接器是可以由FortiGate管理员配置的前端连接器。

　　⑩ FSSO组可以直接添加到策略中，也可以先添加到本地用户组后再添加到策略中。选择菜单【用户与认证】-【用户组】，点击【新建】。

　　⑾ 在名称字段中输入组的名称，类型设置为FSSO，在成员字段中，单击+并添加FSSO组。点击【确认】。

　　⑿ 本地FSSO组创建完成，下一步就是加入上网策略中。

　　⒀ 在上网策略的源地址字段中，单击+，选择FSSO组。这样只有这个组的用户可以通过策略上网。

故障排查

　　当认证通过的AD用户不能访问internet或通过防火墙策略时，请检查本地FSSO用户列表。

　　① 用diagnose debug authd fsso list 命令查看FSSO登录的用户列表，正常情况下，可以读取到域服务器的登录信息。如果预期的AD用户不在列表中，而其他用户在列表中，则意味着FortiGate错过了登录事件。如果许多用户同时登录，或者用户的工作站无法连接到DC，并且当前使用缓存的凭据登录，因此DC安全事件日志中没有条目。