通过展示理解SSO概念的能力,你将能够更有效地理解FSSO方法。
FSSO是一个软件代理,使FortiGate能够为安全策略或VPN访问识别网络用户,而无需询问他们的用户名和密码。当用户登录目录服务时,FSSO代理会向FortiGate发送用户名、IP地址和用户所属的组列表。FortiGate使用这些信息来维护用户名、IP地址和组映射的本地数据库。
由于域控制器对用户进行身份验证,FortiGate不执行身份验证。当用户尝试访问网络资源时,FortiGate为目标选择适当的安全策略。如果用户属于允许的用户组之一,则允许连接。
FSSO通常与目录服务网络一起使用,例如Windows Active Directory或Novell eDirectory。
FSSO for Windows Active Directory(AD)使用收集器代理。域控制器(DC)代理也可能是必需的,具体取决于收集器代理的工作模式。在Windows中监控用户登录活动有两种工作模式:DC代理模式和轮询模式。FortiGate还提供了一种不需要收集器代理的轮询模式,该模式适用于用户数量最少的简单网络。
还有另一种专门用于Citrix和终端服务环境的DC代理:终端服务器(TS)代理。TS代理需要Windows Active Directory收集器代理或FortiAuthenticator收集登录事件并将其发送到FortiGate。
eDirectory代理安装在Novell网络上,以监控用户登录,并将所需信息发送到FortiGate。它的功能与Windows AD域控制器上的收集器代理非常相似。代理可以使用Novell APl或LDAP从Novell eDirectory获取信息。
DC代理模式需要:
● 每个Windows DC上都安装了一个DC代理
如果你有多个DC,这意味着你需要多个DC代理。DC代理监控用户登录事件并将其转发给收集器代理。
● 收集器代理,这是另一个FSSO组件
收集器代理安装在Windows服务器上,该服务器是你尝试监控的域的成员。它整合了从DC代理那里收到的事件,然后将它们转发给FortiGate。收集器代理负责组验证、工作站检查和登录记录的FortiGate更新。FSSO收集器代理可以将域本地安全组、组织单位(OU)和全局安全组信息发送到FortiGate设备。它也可以为DNS查找进行定制。
当用户登录时,DC代理会拦截域控制器上的登录事件。然后,它解析客户端的DNS,并将其发送到收集器代理。
收集器代理接收它,然后执行DNS解析,以检查用户的IP是否已更改。
在某些配置中,双DNS解析是一个问题。在这种情况下,你可以在托管DC代理的域控制器上配置注册表密钥,以不解析DNS:
donot_resolve = (DWORD) 1 at HKLM/Software/Fortinet/FSAE/dcagent
1. 当用户向DC进行身份验证时,他们会提供他们的凭据。
2. DC代理看到登录事件,并将其转发给收集器代理。
3. 收集器代理汇总所有登录事件,并将该信息转发到FortiGate。收集器代理发送的信息包含用户名、主机名、IP地址和用户组。收集器代理通过TCP端口8000(默认)与FortiGate通信,并在UDP端口8002(默认)上监听DC代理的更新。端口是可定制的。
4. FortiGate从收集器代理那里了解用户是谁、他们的IP地址以及用户是成员的一些AD组。当用户尝试访问互联网时,FortiGate会将源IP地址与其活跃的FSSO用户列表进行比较。由于在这种情况下,用户已经登录到域,并且FortiGate已经拥有他们的信息,FortiGate不会提示用户再次进行身份验证。相反,它根据匹配的防火墙策略允许或拒绝流量。
首先,你将查看基于收集器代理的轮询模式。与DC代理模式一样,基于收集器代理的模式要求在Windows服务器上安装收集器代理,但不要求在每个DC上安装DC代理。在基于收集器代理的轮询模式下,收集器必须比DC代理模式下的收集器代理更强大,并且在没有登录事件时也会产生不必要的流量。
在Windows事件日志轮询(最常部署的轮询模式)中,收集器代理使用SMB(TCP端口445)协议定期从域控制器请求事件日志。其他方法可能会以不同的方式收集信息,但在收集器代理收到登录后,收集器代理会解析数据并构建用户登录数据库,该数据库由用户名、工作站名称或IP地址和用户组成员资格组成。然后,这些信息就可以发送到FortiGate了。
● WMI:是一个从Windows服务器获取系统信息的Windows API。DC返回所有请求的登录事件。收集器代理是WMI客户端,将用户登录事件的WMI查询发送到DC,在这种情况下,DC是WMI服务器。收集器代理不需要在DC上搜索安全事件日志以获取用户登录事件;相反,DC返回所有请求的登录事件。这减少了收集器代理和DC之间的网络负载。
● WinSecLog:从DC轮询所有安全事件日志。它不会错过DC记录的任何登录事件,因为事件通常不会从日志中删除。如果网络很大,FortiGate接收事件可能会有一些延迟,因此,写入日志的速度会很慢。它还要求将特定事件ID的审计成功记录在Windows安全日志中。
● NetAPl:轮询用户登录或注销时在DC上创建的临时会话,并在Windows上调用NetSessionEnum函数。它比WinSec和WMi方法更快;然而,如果DC处于沉重的系统负载下,它可能会错过一些登录事件。这是因为在代理有机会轮询和通知FortiGate之前,可以快速创建会话并从RAM中清除。
1. 用户使用DC进行身份验证,提供他们的凭据。
2. 收集器代理定期(每隔几秒钟)直接轮询每个DC的TCP端口445,以询问是否有人登录。
3. 收集器代理通过TCP端口8000将登录信息发送到FortiGate。这与在DC代理模式下发送的信息相同。
4. 当用户流量到达FortiGate时,FortiGate已经知道哪些用户在哪个IP地址,不需要重复身份验证。
由于FortiGate本身收集所有数据,无代理轮询模式需要更多的系统资源,而且不容易扩展。
无代理轮询模式的运作方式与WinSecLog类似,但只有两个事件ID:4768和4769。由于没有收集器代理,FortiGate使用SMB协议从DC读取事件查看器日志。
在无代理轮询模式下,FortiGate充当收集器。它负责在正常的FSSO任务之上进行轮询,但没有外部收集器代理提供的所有额外功能,例如工作站检查。
1. 用户使用DC进行身份验证。
2. FortiGate轮询DC TCP端口445以收集用户登录事件。FortiGate注册登录事件,获取用户名、主机名和IP地址。然后,FortiGate会查询用户的一个或多个用户组。
3. 当用户发送流量时,FortiGate已经知道它正在接收谁的流量;因此,用户不需要进行身份验证。
DC代理模式更复杂。它不仅需要一个收集器代理,还需要每个监控域控制器的DC代理。然而,它也更具可扩展性,因为捕获登录的工作是由DC代理完成的,他们直接将信息传递给收集器。
在轮询模式下,收集器需要每隔几秒钟查询每个域控制器。因此,随着每次添加DC,查询数量都会增加。如果你想在轮询模式下添加第二个收集器代理进行冗余,两个收集器代理都需要单独查询每个DC。
在DC代理模式下,DC代理只需收集一次日志,并将必要信息的副本发送给所有收集代理。相比之下,如果你使用轮询模式,一些登录事件可能会错过或延迟,具体取决于使用的轮询选项。
你不必在DC上安装收集器代理,你可以在网络上的任何Windows机器上安装它。
● Microsoft Windows登录事件有工作站名称和用户名,但没有工作站IP地址。当收集器代理收到登录事件时,它会查询DNS服务器以解析工作站的IP地址。因此,FSSO要求你拥有自己的DNS服务器。如果工作站IP地址发生变化,则必须立即更新DNS记录,以便收集代理注意更改并将其报告给FortiGate。
● 为了获得完整的功能,收集器代理需要与所有工作站连接。由于注销时不会生成受监控事件日志,因此收集器代理(取决于FSSO模式)必须使用不同的方法来验证用户是否仍处于登录状态。因此,对每个用户工作站进行轮询,看看用户是否还在那里。默认情况下,所有当前支持的FSSO收集器代理版本都使用WMI来验证用户是否仍在远程工作站上登录。
● 当用户登录时,DC代理会拦截域控制器上的登录事件。然后,它解析客户端的DNS,并将其发送到收集器代理。
收集器代理接收DNS,然后执行DNS解析,以检查用户的IP地址是否已更改。
如果FortiGate充当无代理轮询模式的收集器,你必须选择Poll Active Directory Server,并为每个DC配置IP地址和AD管理员凭据。
FortiGate使用LDAP查询AD以检索用户组信息。要做到这一点,你必须将LDAP服务器添加到Poll Active Directory Server配置中。
FSSO收集器代理可以以两种模式之一访问Windows AD:
● 收集器代理:你在收集器代理上创建组过滤器。你可以将FortiGate设置为收集器代理模式,收集器代理仍然可以使用高级模式访问嵌套组。
● 本地:你使用LDAP服务器在FortiGate上创建组过滤器。如果你将FortiGate设置为本地模式,则必须将收集器代理设置为高级模式,否则收集器代理无法识别FortiGate发送的组过滤器,也不会传递任何用户登录信息。
● DC代理
● 微软服务器的收集器代理:FSSO_Setup
● Novell目录的收集器代理:FSSO_Setup_edirectory
● Citrix和终端服务器的终端服务器代理(TSagent)安装程序:TSAgent_Setup
此外,对于每个代理,有两个版本:可执行文件(.exe)和微软安装程序(.msi)。
请注意,你不需要将FSSO版本与确切的FortiGate固件版本相匹配。安装FSSO时,请为你的主要版本获取最新的收集器代理。但是,你需要将DC代理版本与收集器代理版本相匹配。
1. 阅读并接受许可协议。
2. 可选项,更改安装位置。默认文件夹名为FSAE(Fortinet Server Authentication Extension)。
3. 输入用户名。默认情况下,代理使用当前运行的帐户的名称;但是,你可以使用以下格式进行更改:DomainName\UserName。
4. 或者,配置你的收集器代理进行监控、NTLM身份验证和目录访问。这些选项在安装后也可以定制。虽然默认是标准模式,但在进行新的FSSO设置时,在高级模式下安装始终是最佳实践。你将在本课中看到一些优势。
5. 如果你想使用DC代理模式,请确保选择了启动DC代理安装向导。这会自动启动直流代理安装。
1. 输入收集器代理的IP地址。或者,如果默认值已被其他服务使用,你可以自定义监听端口。
2. 选择要监控的域。如果你的任何所需域未列出,请取消向导并与域控制器建立正确的信任关系。然后,再次运行向导。请注意,这也可能是在没有所有必要权限的情况下使用帐户的结果。
3. 可选项,选择你不想监控的用户;这些用户的登录事件不会被收集器记录,因此不会传递给FortiGate。虽然这些用户仍然能够向域生成登录事件,但当它们被收集器代理检测到时,它们会被丢弃,以免干扰登录用户。这在具有集中管理反病毒解决方案或使用AD帐户启动的预定备份服务的环境中特别有用。这些帐户可以为收集器代理创建登录事件,以覆盖现有用户登录。这可能会导致FortiGate根据覆盖帐户应用不正确的策略和配置文件。你还可以自定义选项,在安装完成后忽略用户。
4. 可选项,清除你不想安装DC代理的域控制器的复选框。请记住,对于DC代理模式FSSO,至少一个域控制器必须安装DC代理。还要记住,安装DC代理需要重新启动DC,然后才能开始收集登录事件。安装完成后,你可以随时向DC添加或删除DC代理。
5. 选择DC代理模式作为工作模式。如果你选择轮询模式,将不会安装DC代理。
最后,向导请求重新启动系统。
● 与DC代理(UDP)通信的监听端口
● 与FortiGate(TCP)通信的监听端口
● NTLM身份验证支持
● 收集器代理和FortiGate之间的密码身份验证
● 计时器
在大型AD结构中监控整个组列表效率低下,并且浪费了资源。大多数FSSO部署需要组分割(至少四或五组),目的是使用基于身份的策略将不同级别的安全配置文件配置分配给不同组。
组过滤器还有助于限制发送到FortiGate的流量。FortiGate上允许的Windows AD用户组的最大数量取决于型号。低端FortiGate型号支持256个Windows AD用户组。中端和高端模型可以支持更多的组。如果在FortiGate上启用了VDOM,这是每个VDOM。
你可以在FortiGate上过滤,而不是收集器代理,但前提是收集器代理在高级模式下运行。在这种情况下,收集器代理使用你在FortiGate上选择的组列表作为该设备的组过滤器。
过滤器列表最初为空。至少,你应该创建一个默认过滤器,该过滤器适用于所有没有定义过滤器的FortiGate设备。默认过滤器适用于任何没有在列表中定义特定过滤器的FortiGate设备。
请注意,如果你将AD访问模式从标准更改为高级或高级更改为标准,则必须重新创建过滤器,因为它们因模式而异。
最好将所有网络服务帐户添加到忽略用户列表中。服务帐户倾向于覆盖用户登录事件,并创建基于身份的策略匹配问题。
● 手动输入用户名。
● 单击Add Users,然后选择你不想监控的用户。
● 单击Add by OU,然后从目录树中选择一个OU。请注意,所选OU下的所有用户都已添加到忽略用户列表中。
现在,我们来看看它们的工作原理。
● 工作站验证间隔。此设置控制收集器代理何时连接到端口139(或端口445)上的单个工作站,并使用远程注册表服务来验证用户是否仍登录到同一站。它将显示登录用户下的用户状态更改为无法连接到工作站时未验证。如果它确实连接,它会验证用户,状态保持正常。为了方便此验证过程,你应该将远程注册表服务设置为在所有域成员PC上自动启动。
● 无效输入超时间隔。此设置仅适用于状态未验证的条目。当条目未验证时,收集器会启动此计时器。它习惯于老化条目。当计时器过期时,登录将从收集器中删除。从FortiGate的角度来看,OK的条目和未验证的条目之间没有区别。两者都被认为是有效的。
● IP地址更改验证间隔。此设置会检查登录用户的IP地址,并在用户的IP地址更改时更新FortiGate。这个计时器在DHCP或动态环境中尤为重要,以防止用户在更改IP地址时被锁定。域DNS服务器应该是准确的;如果DNS服务器没有及时更新受影响的记录,则收集器代理的IP信息不准确。
● 缓存用户组查找结果。此设置在定义的时间内缓存用户组成员资格。即使用户在AD中更改了组成员资格,它也不会更新。
模式之间的主要区别是使用的命名惯例:
● 标准模式使用Windows约定,NetBios:Domain\groups
● 高级模式使用LDAP约定:CN=User,OU=Name,DC=Domain
高级模式支持嵌套或继承组;也就是说,用户可以成为属于受监控父组的子组的成员。此外,在高级模式下,FortiGate防火墙策略可以应用于个人用户、用户组和OU。
相比之下,在标准模式下,你可以有一个带有安全配置文件的防火墙策略,该配置文件可以适用于用户组,但不能适用于单个用户。
在高级模式下,你可以将FortiGate配置为LDAP客户端,并在FortiGate上配置组过滤器。你还可以在收集器代理上配置组过滤器。
如果收集器代理上的LDAP失败,无论FortiGate上的LDAP怎么说,FSSO都不会起作用。如果FortiGate LDAP失败,但收集器代理上的LDAP仍在运行,FortiGate可能无法收集日志,但收集器代理仍然收集日志。因此,建议你从收集器代理创建过滤器。
● 安全组
● 通用组
● ou内部的组
● 包含来自子域的通用组的本地或通用组(仅使用全局目录)
所有FortiGate配置都包含一个名为SSO_Guest_Users的用户组。当仅使用被动身份验证时,所有不属于任何FSSO组的用户都会自动包含在此来宾组中。
这允许管理员为不属于Windows AD域的来宾用户配置有限的网络访问权限。
但是,如果对特定流量启用了被动和主动身份验证,则不能使用SSO_Guest_Users,因为必须提示来自FSSO用户列表中的IP地址的流量输入其凭据。
Citrix服务器支持FSSO。TS代理模式允许服务器实时监控用户登录。TS代理就像一个DC代理,它还需要收集器代理收集登录事件并将其发送到FortiGate。然后,它使用相同的端口向收集器代理报告登录信息。
只有当每个用户都有自己的IP地址时,收集器代理才能从Citrix服务器获取准确的登录事件。如果多个用户共享相同的IP地址,TS代理需要向收集器代理报告用户、IP地址和分配给该用户的源端口范围。TS代理不能将日志直接转发到FortiGate;日志首先必须由收集器收集。这不适用于FortiGate的轮询。
配置为基于RADIUS的计费系统的RADIUS服务器可以通过向收集器代理发送计费消息在你的网络中进行交互。FSSO收集器代理还支持与syslog服务器集成,用于相同的目的。
你可以在事件ID到轮询字段中配置哪些事件ID被轮询到Windows安全事件日志。
● FSSO有许多必需的端口,你必须允许通过所有防火墙,否则连接将失败。这些包括端口139(工作站验证)、445(工作站验证和事件日志轮询)、389(LDAP)以及445和636(LDAPS)。
● 配置流量整形,为每个域控制器的最低保证带宽为64 Kbps。如果带宽不足,一些FSSO信息可能无法到达FortiGate。
● 在全Windows环境中,刷新非活动会话。否则,未经身份验证的机器的会话可能会作为经过身份验证的用户发送。如果经过身份验证的用户的DHCP租约过期,并且收集器代理能够验证用户已注销,则可能发生这种情况。
● 如果工作站IP地址发生变化,请确保DNS配置正确,并正在更新IP地址。
● 切勿将工作站验证间隔设置为0。这可以防止收集器代理删除过时的条目,这意味着只有通过新事件覆盖它们才能删除它们。在FSSO和非FSSO用户共享同一DHCP池的环境中,这可能特别危险。
● 仅使用被动身份验证时,请将来宾用户组包含在策略中,并授予他们访问权限。将他们的团队与安全政策联系起来。如果你使用主动身份验证作为备份,请确保不将SSO_Guest_User添加到任何策略中。SSO_Guest_User和活动身份验证是相互排斥的。
为了确保你记录所需的所有事件,请将最低日志级别设置为通知或信息。防火墙日志记录要求通知作为最低日志级别。日志级别越接近调试级别,记录的信息就越多。
FSSO收集器代理的日志记录部分允许以下配置:
● 日志级别:选择已记录消息的最低严重级别。包括这些级别:
调试:最详细的日志级别。在主动解决问题时使用它。
信息:包括有关登录事件和工作站检查的详细信息。这是大多数故障排除的推荐级别。
警告:默认级别。它提供了有关故障的信息。
错误:仅列出最严重的事件。
● 日志文件大小限制(MB):输入日志文件的最大大小(以MB为单位)。默认值是10。
● 查看日志:查看所有FSSO代理日志。
● 单独的日志中记录登录事件:与其他日志分开记录用户登录相关信息。此日志中的信息包括:从DC代理收到的数据、用户登录/注销信息、工作站IP更改信息以及发送到FortiGate设备的数据。选中后,从FortiGate发送和删除的事件摘要列在“查看登录事件”下,而所有其他信息仍保留在查看日志下。
● 查看登录事件:如果启用了单独日志中记录登录事件,你将可以查看用户登录相关信息。
要显示当前登录的FSSO用户列表,请使用CLl命令diagnose debug authd fsso list。
对于每个用户,显示用户名、用户组、IP地址和他们登录的工作站名称。MemberOf部分显示在防火墙上创建的组,你将AD组映射到该组。同一组应该显示在GUl上的用户组屏幕上。
此外,使用execute fsso refresh,使用收集器代理从连接到FortiGate的任何目录服务服务器手动刷新用户组信息。
命令diagnose debug fsso-polling refresh-user刷新所有活动FSSO用户的信息。
在无代理轮询模式下,FortiGate经常轮询事件查看器以获取登录事件。你可以在445端口嗅探这些流量。
此外,还有一个特定的FortiGate守护进程可以处理轮询模式。这是fssod守护进程。要启用无代理轮询模式实时调试,请使用diagnose debug application fssod -1命令。
通过掌握本课中涵盖的目标,你学会了如何使用FSSO,这样你的用户就不需要每次访问不同的网络资源时都登录。
3546
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
