【简介】除了DC代理模式以外,我们还可以Fortinet单点登录连接下使用轮询模式。
卸载DC代理
如果我们要使用基于收集器代理的轮询模式,需要先卸载DC代理,或安装收集器代理时不安装DC代理。
① 在域服务器中,点击左下角启动菜单,选择【Fortinet】-【Uninstall DC Agent】。
② 默认钩选域控制器,点击【下一步】。
③ DC代理删除后,需要重启域控制器,点击【是】,域服务器重启。
FSSO代理配置
FSSO代理配置决定我们是使用DC代理还是使有轮询模式。
① 打开FSSO代理配置,点击【Show Monitored DCs】。
② 显示DC代理状态,点击【Select DC to Monitor...】。
③ 选择工作模式为【Polling Mode】,将进入基于收集器代理的轮询模式。与DC代理模式一样,基于收集器代理模式需要在Windows服务器上安装一个收集器代理,而不需要在每个DC上安装DC代理。基于收集器代理的轮询方式需要比DC代理更强大,并且在没有登录事件的情况下会产生不必要的流量。
Windows事件日志轮询是最常用的轮询方式,收集器代理通过SMB (TCP端口445)协议定期向域控制器请求事件日志。其他方法可能以不同的方式收集信息,但是在收集器代理接收到登录后,收集器代理解析数据并构建用户登录数据库,该数据库由用户名、工作站名/IP地址和用户组成员关系组成。然后,这些信息就可以发送到FortiGate了。
基于收集器代理的轮询模式有三种方法(或选项)收集登录信息:
● NetAPI:在用户登录或注销时轮询DC上创建的临时会话,并调用Windows下的NetSessionEnum函数。它比WinSec和WMI方法快;然而,如果DC处于沉重的系统负载下,它可能会错过一些登录事件。这是因为在代理有机会轮询和通知FortiGate之前,会话可以快速地从RAM中创建和清除。
● WinSecLog:轮询DC中的所有安全事件日志。它不会错过DC记录的任何登录事件,因为事件通常不会从日志中删除。如果网络很大,FortiGate在接收事件时可能会有一些延迟,因此写入日志的速度会很慢。还要求在Windows安全日志中记录特定事件ID的审计成功情况。
● WMI:是一个从Windows服务器获取系统信息的Windows API。DC返回所有请求的登录事件。收集器代理是一个WMI客户机,并将有关用户登录事件的WMI查询发送到DC,在本例中,DC是一个WMI服务器。收集器代理不需要在DC上搜索用户登录事件的安全事件日志;相反,DC返回所有请求的登录事件。这减少了收集器代理和直流之间的网络负载。
④ 点击【Refresh Now】,可以看到活动DC代理,注意IP址一定要是正确的地址,如果服务器有多块网卡多个地址,可以先禁用其它网卡,直到得到正确的IP地址。
⑤ 点击【Apply】使配置生效。
防火墙修改配置
我们修改原有的基于DC代理的配置,变更成基于收集器代理的轮询模式。
① 首先我们要配置LDAP服务器,需要用到域服务器的管理员帐号,其它帐号权限不够,会造成FSSO单点登录连接器连接不成功。
② 选择菜单【Security Fabric】-【外部连接器】,选择上篇文章建立的Fortinet单点登录连接器,点击【编辑】。
③ 在用户组源,选择【本地】。
④ 选择我们前面建好的LDAP服务器,点击【编辑】。
⑤ 选择并添加组,点击【确认】。
⑥ 用户/组边上的数字表示选择了多少个组或用户。
⑦ 返回外部连接器窗口,确保Fortinet单点登录的状态是绿色向上箭头,表示连接成功。
⑧ 选择【用户与认证】-【用户组】,我们可以看到前面建立的OldMei-FSSO用户组,成员已经为空,选择用户组,点击【编辑】。
⑨ 将Fortinet单点登录里选择的组,加入用户组。修改完成。
验证
我们来看看同样是基于收集器代理,DC代理模式和轮询模式到底有什么不同。
① 这次我们用张三帐号登录。
② 收集器代理得到用户登录信息。
③ 防火墙用diagnose debug authd fsso list命令查持FSSO用户列表,可以看到有张三的信息。
④ 在防火墙用户监控器窗口,也可以看到张三的帐号信息。说明基于收集器代理的轮询模式也是可以正常工作的。那到底是轮询模式好还是DC代理模式好,就要看实际大量用户情况下的使用对比了。
1681
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
