FSSO是一个软件代理,使FortiGate能够在使用FortiAuthenticator的高级部署中识别网络用户,以实现安全策略或VPN访问,而无需询问他们的用户名和密码。当用户登录目录服务时,FSSO代理向FortiGate发送用户名、IP地址和用户所属组列表。FortiGate使用这些信息来维护用户名、IP地址和组映射的本地数据库。
由于域控制器对用户进行身份验证,FortiGate不进行身份验证。当用户访问网络资源时,FortiGate为用户选择合适的安全策略。如果用户属于被允许的用户组之一,则允许该连接。
FSSO通常用于目录服务网络,如Windows Active directory或Novell eDirectory。
Windows AD的FSSO使用的是收集器代理。根据收集器代理的工作模式,可能还需要域控制器(DC)代理。有两种工作模式监视Windows中的用户登录活动:DC代理模式和轮询模式。FortiGate还提供了一种不需要收集器代理的轮询模式,适用于用户数量最少的简单网络。
还有另一种DC代理专门用于Citrix和终端服务环:终端服务器(TS)代理。TS代理需要Windows Active Directory收集器代理或FortiAuthenticator收集登录事件并将其发送到FortiGate。
eDirectory代理安装在Novell网络上,用于监视用户登录并向FortiGate发送所需的信息。它的功能很像Windows AD域控制器上的收集器代理。代理可以使用Novell API或LDAP从Novell eDirectory获取信息。
DC代理模式要求:
● 每个Windows DC上安装一个DC代理
如果你有多个DC,这意味着你需要多个DC代理。DC代理监视用户登录事件,并将其转发给收集器代理。
● 收集器代理,这是另一个FSSO组件
收集器代理安装在Windows服务器上,该服务器是你试图监视的域的成员。它整合从DC代理接收到的事件,然后将它们转发给FortiGate。收集器代理负责组验证、工作站检查和FortiGate登录记录的更新。FSSO收集器代理可以向FortiGate设备发送域本地安全组、组织单元和全局安全组信息。也可以定制用于DNS查找。
当用户登录时,DC代理将拦截域控制器上的登录事件。然后它解析客户端的DNS,并将其发送给收集器代理。
收集器代理接收到它,然后执行DNS解析,以检查用户的IP是否已更改。
在某些配置中,存在DNS双解析的问题。在这种情况下,你可以在承载DC代理的域控制器上配置注册表项,以避免解析DNS:
donot_resolve = (DWORD) 1 at HKLM/Software/Fortinet/FSAE/dcagent
1. 当用户使用DC进行身份验证时,他们提供了自己的凭据。
2. DC代理看到登录事件,并将其转发给收集器代理。
3. 收集器代理聚合所有登录事件并将这些信息转发到FortiGate。收集代理发送的信息包含用户名、主机名、IP地址和用户组。收集器代理通过TCP端口8000(默认)与FortiGate通信,并在UDP端口8002(默认)上侦听来自DC代理的更新。端口是可定制的。
4. FortiGate从收集器代理学习用户是谁、他们的IP地址和用户所属的一些AD组。当用户访问internet时,FortiGate比较源IP地址和FSSO活跃用户列表。由于本例中的用户已经登录到域,并且FortiGate已经获得了他们的信息,因此FortiGate不会提示用户再次进行身份验证。相反,它会根据匹配的防火墙策略允许或拒绝流量。
首先,你将了解基于收集器代理的轮询模式。与DC代理模式一样,基于收集器代理的模式需要在Windows服务器上安装一个收集器代理,但不需要在每个DC上安装DC代理。在基于收集器代理的轮询模式下,收集器代理必须比DC代理模式下的收集器代理更强大,并且在一直没有登录的情况下也会产生不必要的流量。
在Windows事件日志轮询(最常用的轮询部署模式)中,收集器代理使用SMB(TCP端口445)协议定期向域控制器请求事件日志。其他方法收集信息的方式可能不同,但在登录信息被收集器代理接收后,收集器代理会解析数据并构建用户登录数据库,该数据库由用户名、工作站名/IP地址和用户组成员组成。然后,这些信息就可以被发送到FortiGate了。
● WMI:是从Windows服务器获取系统信息的Windows API。DC返回所有请求的登录事件。收集器代理是一个WMI客户端,并向DC发送关于用户登录事件的WMI查询,在本例中,DC是一个WMI服务器。收集器代理不需要在DC上搜索用户登录事件的安全事件日志;相反,DC返回所有请求的登录事件。这减少了收集器代理和DC之间的网络负载。
● WinSecLog:轮询DC上的所有安全事件日志。它不会遗漏任何已经被DC记录的登录事件,因为事件通常不会从日志中删除。如果网络很大,那么在FortiGate接收事件时可能会有一些延迟,因此,写入日志的速度很慢。还要求在Windows安全日志中记录特定事件ID的审计成功情况。要获得支持的事件ID的完整列表,请访问Fortinet知识库(http://kb.fortinet.com)。
● NetAPI:在Windows操作系统中,用户登录或注销时调用NetSessionEnum函数时,轮询DC上创建的临时会话。它比WinSec和WMi方法更快;然而,如果DC系统负载过重,它可能会错过一些登录事件。这是因为在代理有机会轮询和通知FortiGate之前,会话可以快速地从RAM中创建和清除。
1. 用户通过DC进行身份验证,提供他们的凭据。
2. 收集器代理定期(每隔几秒)直接轮询每个DC的TCP端口445,询问是否有人登录。
3. 收集器代理通过TCP端口8000向FortiGate发送登录信息。这和DC代理模式下发送的信息是一样的。
4. 当用户流量到达FortiGate时,FortiGate已经知道哪些用户在哪个IP地址上,不需要重复身份验证。
因为FortiGate本身收集所有数据,所以无代理轮询模式需要更多的系统资源,而且不容易扩展。
无代理轮询模式的操作方式与WinSecLog类似,但只有两个事件ID: 4768和4769。因为没有收集器代理,FortiGate使用SMB协议从DC读取事件查看器日志。
在无代理轮询模式下,FortiGate充当收集器。它负责在正常的FSSO任务之上进行轮询,但不具备外部可用的所有额外功能,例如工作站检查。
1. FortiGate轮询DC TCP端口445以收集用户登录事件。
2. 用户通过DC认证后,FortiGate在下次轮询时注册登录事件,获取用户名、主机名和IP地址等信息。然后FortiGate查询用户的用户组。
3. 当用户发送流量时,FortiGate已经知道它正在接收谁的流量;因此,用户不需要进行身份验证。
DC代理模式更复杂。它不仅需要一个收集器代理,而且每个被监控的域控制器都需要一个DC代理。然而,它也更具有可伸缩性,因为捕获登录的工作是由DC代理完成的,DC代理将登录信息直接传递给收集器。
在轮询模式下,收集器需要每隔几秒钟查询每个域控制器。所以,每增加一个DC,查询的数量就会增加。如果你想在轮询模式下添加第二个收集器代理以实现冗余,两个收集器代理都需要单独查询每个DC。
在DC代理模式中,DC代理只需收集一次日志,并向所有收集器代理发送必要信息的副本。相比之下,如果使用轮询模式,一些登录事件可能会被错过或延迟,这取决于所使用的轮询选项。
你不必在DC上安装收集器代理,可以将其安装在网络上的任何Windows计算机上。
● Microsoft Windows登录事件具有工作站名称和用户名,但没有工作站IP地址。当收集器代理收到登录事件时,向DNS服务器查询工作站的IP地址。因此,FSSO要求你有自己的DNS服务器。如果工作站IP地址发生了变化,DNS记录必须立即更新,以便收集器代理能够意识到这些变化,并将其报告给FortiGate。
● 要获得完整的特性功能,收集器代理需要与所有工作站连接。由于注销时不会生成被监控的事件日志,因此收集器代理(取决于FSSO模式)必须使用不同的方法来验证用户是否仍在登录。因此,对每个用户工作站进行轮询,以查看用户是否仍在。
● 当用户登录时,DC代理将拦截域控制器上的登录事件。然后它解析客户端的DNS,并将其发送给收集器代理。
收集器代理接收到DNS,然后执行DNS解析,以检查用户的IP是否发生了变化。
如果FortiGate作为采集器,采用无代理轮询模式,则需要选择轮询Active Directory服务器,并为每个DC配置IP地址和AD管理员凭据。
FortiGate通过LDAP协议查询AD来获取用户组信息。要做到这一点,必须添加LDAP服务器到轮询Active Directory服务器配置。
FSSO收集器代理可以通过以下两种方式访问Windows AD:
● 采集器代理:在收集器代理上创建组过滤器。你可以将FortiGate设置为收集器代理模式,收集器代理仍然可以使用高级模式访问嵌套组。
● 本地:使用LDAP服务器在FortiGate设置为本地模式,则必须将收集器代理设置为高级模式,否则收集器代理不识别FortiGate上创建的组过滤器,也不传递任何用户登录。
● DC代理
● Microsoft服务器的收集器代理:FSSO_Setup
● Novell目录的收集器代理:FSSO_Setup_edirectory
● Citrix和终端服务器的终端服务器代理(TSagent)安装程序:TSAgent_Setup
此外,每个代理都有两个版本:可执行文件(.exe)和Microsoft Installer (.msi)。
请注意,你不需要将FSSO版本与你的确切FortiGate固件版本匹配。在安装FSSO时,为你的主要版本抓取最新的收集器代理。但是,你需要将DC代理版本与收集器代理版本匹配。
1. 阅读并接受许可协议。
2. 可选项,更改安装位置。默认文件夹名为FSAE (Fortinet Server Authentication Extension)。
3. 输入用户名。代理默认使用当前运行帐号的名称;但是,你可以使用以下格式更改它:DomainName\UserName。
4. 或者,配置你的收集器代理进行监控、NTLM身份验证和目录访问。这些选项在安装后也可以自定义。虽然默认是标准模式,但在进行新的FSSO设置时,在高级模式下安装总是一个最佳实践。
5. 如果要使用DC代理模式,请确保选中了启动DC代理安装向导。这将自动启动DC代理的安装。
1. 输入收集器代理的IP地址。如果默认值已经被其他服务使用,你也可以自定义监听端口。
2. 选择要监控的域。如果没有列出所需的任何域,请取消向导并与域控制器建立正确的信任关系。然后,再次运行向导。请注意,这也可能是使用一个没有所有必要权限的帐户的结果。
3. 可选项,选择不想监控的用户;这些用户的登录事件不会被收集器记录,因此不会传递给FortiGate。虽然这些用户仍然能够生成登录事件到域,但当它们被收集器代理检测到时,它们将被丢弃,以不干扰登录用户。这在具有集中管理的反病毒解决方案或使用AD帐户启动的计划备份服务的环境中特别有用。这些帐户可以为收集器代理创建覆盖现有用户登录的登录事件。这可能导致FortiGate应用基于重写帐户的不正确的策略和配置文件。你还可以自定义在安装完成后忽略用户的选项。
4. 可选项,清除你不想在其上安装DC代理的域控制器的复选框。请记住,对于DC代理模式FSSO,必须至少有一个域控制器安装了DC代理。还要记住,安装DC代理需要重新启动DC,然后才会开始收集登录事件。你可以在安装完成后的任何时间向DC添加或删除DC代理。
5. 选择工作模式为DC代理模式。如果选择轮询模式,则不会安装DC代理。
最后,向导请求重新启动系统。
● 与DC代理通信的侦听端口(UDP)
● 与FortiGate通信的侦听端口(TCP)
● NTLM认证支持
● 收集器代理和FortiGate之间的密码身份验证
● 计时器
在大型AD结构中监视整个组列表的效率非常低,而且会浪费资源。大多数FSSO部署需要组分段(至少四到五个组),目的是使用基于身份的策略将不同级别的安全配置文件配置分配给不同的组。
组过滤器也有助于限制发送到FortiGate的流量。FortiGate上允许的Windows AD用户组的最大数量取决于型号。低端FortiGate型号支持256个Windows AD用户组。中高端机型可支持更多用户组。这是每个VDOM,如果VDOM在FortiGate上启用。
你可以在FortiGate而不是收集器代理上进行过滤,但前提是收集器代理在高级模式下运行。在这种情况下,收集器代理使用你在FortiGate上选择的组列表作为该设备的组过滤器。
过滤器列表最初为空。至少,你应该创建一个默认过滤器,适用于所有没有定义过滤器的FortiGate设备。
注意,如果将AD访问模式从Standard更改为Advanced或Advanced更改为Standard,则必须重新创建过滤器,因为它们会因模式而异。
建议将所有网络服务帐户添加到忽略用户列表中。服务账号往往会覆盖用户登录事件,并在基于身份的策略匹配时产生问题。
你可以通过以下方式将用户添加到忽略用户列表中:
● 手动输入用户名。
● 单击添加用户,然后选择不想监控的用户。
● 单击按OU添加,在目录树中选择对应的OU。
现在,你将逐一了解它们的工作原理。
● 工作站验证间隔。此设置控制收集器代理何时连接到端口139(或端口445)上的各个工作站,并使用远程注册表服务来验证用户是否仍然登录到同一站点。当用户无法连接到工作站时,它将显示登录用户下的用户状态更改为未验证。如果连接成功,它会验证用户,状态保持OK。为了方便这个验证过程,你应该将远程注册表服务设置为在所有域成员PC上自动启动。
● 失效条目超时间隔。此设置仅适用于状态未验证的表项。当一个表项没有被验证时,收集器启动这个计时器。它用于老化该条目。当计时器过期时,登录将从收集器中删除。从FortiGate的角度来看,OK的条目和没有经过验证的条目并没有区别。两者都被认为是有效的。
● IP地址修改验证周期。此设置检查已登录用户的IP地址,并在用户的IP地址更改时加强更新。该定时器在DHCP或动态环境中特别重要,可以防止用户在更改IP地址时被锁定。域DNS服务器应准确;如果DNS服务器没有及时更新受影响的记录,将导致收集器代理的IP信息不准确。
● 缓存用户组查询结果。该设置将用户组成员信息缓存一段时间。即使用户在AD中更改了组成员身份,也不会更新。
模式之间的主要区别是使用的命名约定:
● 标准模式使用Windows惯例,NetBios: Domain\groups,而
● 高级模式采用LDAP约定:CN=User,OU=Name,DC=Domain。
此外,高级模式支持嵌套或继承组;即用户可以是属于被监控父组的子组的成员。此外,在高级模式下,FortiGate可以对个人用户、用户组和OU应用安全配置文件。
相比之下,在标准模式下,你只能将安全配置文件应用于用户组,而不能应用于单个用户。
在高级模式下,可以将FortiGate配置为LDAP客户端,并在FortiGate上配置组过滤器。也可以在收集器代理上配置组过滤器。
如果收集器代理上的LDAP失败,那么无论FortiGate上的LDAP怎么说,FSSO都不会工作。如果FortiGate LDAP失效,但收集器代理上的LDAP仍在运行,则FortiGate可能无法收集日志,但收集器代理仍在收集日志。
Fortinet强烈鼓励用户从收集器代理创建过滤器。
● 安全组
● 通用组
● OU内的组
● 包含子域的通用组的本地组或通用组(仅适用于全局目录)
所有FortiGate配置都包含一个名为SSO_Guest_Users的用户组。当只使用被动认证时,所有不属于任何FSSO组的用户都会自动包含在这个guest组中。
这允许管理员为不属于Windows AD域的来宾用户配置有限的网络访问。
但是,如果对特定流量同时启用了被动和主认证,则不能使用SSO_Guest_Users,因为来自不在FSSO用户列表中的IP地址的流量必须被提示输入。
Citrix服务器支持FSSO。终端服务(TS)代理模式允许服务器实时监控用户登录情况。TS代理类似于DC代理,它还需要收集器代理收集并发送登录事件到FortiGate。然后它使用相同的端口将登录事件报告回收集器代理。
如果每个用户都有自己的IP地址,那么收集器代理本身只能从Citrix服务器获得准确的登录事件。否则,如果多个用户共享同一个IP地址,则需要TS代理向收集器代理报告该用户分配的用户、IP地址和源端口范围。TS代理不能直接将日志转发到FortiGate,日志必须首先由收集器收集。这不适用于来自FortiGate的轮询。
配置为基于RADIUS的计费系统的RADIUS服务器可以通过向收集器代理发送计费消息在网络中进行交互。出于同样的目的,FSSO收集器代理还支持与syslog服务器集成。
FSSO收集器代理还可以监视Microsoft Exchange服务器,这在用户使用域帐户访问电子邮件时非常有用。
对于Windows安全事件日志轮询模式,你可以配置事件ID在这里轮询。具体的事件ID,请访问Fortinet知识库(http://kb.fortinet.com)。
为确保记录所需的所有事件,请将最低日志级别设置为通知或信息。防火墙日志记录要求将通知作为最低日志级别。日志级别越接近Debug级别,记录的信息就越多。
FSSO收集器代理的日志部分允许以下配置:
● 日志级别:选择日志消息的最低级别。包括以下级别:
● Debug:最详细的日志级别。在主动排除问题时使用它。
● Information:包括登录事件和工作站检查的详细信息。这是大多数故障排除的推荐级别。
● Warning:默认级别。提供有关失败的信息。
● Error:只列出最严重的事件。
● 日志文件大小限制(MB):以MB为单位,输入日志文件的最大大小,默认为10。
● 查看日志:查看所有FSSO代理的日志。
● 登录事件分开记录:用户登录相关信息与其他日志分开记录。日志内容包括:DC代理接收到的数据、用户登录/注销信息、工作站IP变更信息、发送到FortiGate设备的数据。选中后,从FortiGate发送和删除的事件摘要将列出在查看登录事件下,而所有其他信息仍在查看日志下。
● 查看登录事件:开启将登录事件分开记录功能后,可查看用户登录相关信息。
● FSSO有许多必需的端口,你必须允许这些端口通过所有防火墙,否则连接将失败。这些端口包括:139(工作站验证),445(工作站验证和事件日志轮询),389 (LDAP),以及445和636 (LDAPS)。
● 在FortiGate和域控制器之间配置流量整形,以确保最小带宽始终可用。如果带宽不足,一些FSSO信息可能无法到达FortiGate。
● 在全windows环境中,清除非活动会话。否则,你可以让未经过身份验证的机器的会话作为经过身份验证的用户退出。如果经过身份验证的用户的DHCP租约到期,收集器代理能够验证用户确实已经注销,就会发生这种情况。
● 确保DNS配置正确,并更新IP地址,如果工作站IP地址发生变化。
● 永远不要将工作站验证间隔设置为0。这可以防止收集器代理老化过时的条目。它们只能通过一个新的事件覆盖它们来删除。在FSSO和非FSSO用户共享同一个DHCP池的环境中,这可能特别危险。
● 当只使用被动身份验证时,在策略中包含来宾用户组并给予他们访问权限。将他们的组与安全策略关联。如果使用主动认证作为备份,请确保没有将SSO_Guest_User添加到策略中。SSO_Guest_User和主动认证互斥。
需要显示当前登录的FSSO用户列表,使用CLI命令diagnostic debugauthd fsso list。
对于每个用户,显示用户名、用户组、IP地址和他们登录的工作站名称。MemberOf部分显示了在防火墙上创建的组,你将AD组映射到该组。相同的组应该显示在GUl的User group屏幕上。
此外,使用execute fsso refresh从连接到FortiGate的任何目录服务服务器手动刷新用户组信息,使用收集器代理。
但是,在使用该命令之前,必须先运行diagnostic debug enable命令。
diagnose debug fsso-polling refresh-user命令用来刷新所有活动FSSO用户的信息。
在无代理轮询模式下,FortiGate经常轮询事件查看器以获取登录事件。你可以在端口445上嗅探这些流量。
此外,还有一个处理轮询模式的特定FortiGate守护进程。它就是fssod守护进程。启用无代理轮询模式实时调试,使用diagnose debug application fssod -1命令。
2972
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
