【认证篇 / 远程】(5.2) ❀ 02. FSSO 域认证单点登录 ❀ FortiGate 防火墙

　　【简介】单点登录SSO（Single Sign-On）是身份管理中的一部分。SSO的一种较为通俗的定义是：SSO是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

---

  单点登录原理

        目前的企业应用环境中，往往有很多的应用系统，如办公自动化（OA）系统，财务管理系统，档案管理系统，信息查询系统等等。这些应用系统服务于企业的信息化建设，为企业带来了很好的效益。但是，用户在使用这些应用系统时，并不方便。用户每次使用系统，都必须输入用户名称和用户密码，进行身份验证；而且应用系统不同，用户账号就不同，用户必须同时牢记多套用户名称和用户密码。特别是对于应用系统数目较多，用户数目也很多的企业，这个问题尤为突出。问题的原因并不是系统开发出现失误，而是缺少整体规划，缺乏统一的用户登录平台，使用SSO技术可以解决以上这些问题。　　

        飞塔防火墙支持单点登录SSO，我们看看它的工作原理：

        １、内网用户通过域服务器登录域；

        ２、域服务器通过验证后，FSSO DC代理收集登录信息并传送给FSSO集成代理；

        ３、FSSO集成代理将登录信息传送给防火墙；

        ４、用户访问互联网；

        ５、防火墙基于FSSO传递的登录信息决定是否放行。

  测试环境说明

        我们准备了飞塔90D防火墙用于设置域服务器验证，为了更接近真实使用环境，防火墙内划分了二个网段，10.0.1.0/24和10.0.3.0/24，工作电脑接在10.0.1.0/24网段，域服务器接在10.0.3.0/24网段。防火墙里设置了策略，允许两个网段之间互相访问。

        域服务器IP地址为10.0.3.8，系统为Windows Server 2012（其它系统操作方法也基本一样）。域结构如下：

        域名为lw.com，建立了单元SSL-VPN-User，下面有两个组，分别是FORTINET和WATCHGUARD，建有两个测试用户，都属于两个组内。域环境的建立这里就不再详细描述了。

  Fortinet FSSO 下载

        首先需要域服务器上安装单点登录软件，软件可以在飞塔官网上下载到，需要在官网注册用户。

        如果嫌麻烦，也可以在这个地址下载到：

　　        飞塔单点登录FSSO_怎么识别飞塔防火墙-网络设备工具类资源-CSDN下载

        下载后的文件是这样的：

  Fortinet FSSO 安装

        在域服务器上安装这个软件，如果有多台域服务器，需要在多台域服务器上都安装。

        ① 首先出现的是安装向导提示，点击下一步；

        ② 确认许可协议，点击下一步；

        ③ 默认安装目录，点击下一步；

        ④ 监视用户的登录信息并发送到防火墙，服务来自防火墙的NTLM验证，这两项默认打钩，访问Windows域的方法默认为标准，点击下一步；

        ⑤ 选择好后可以开始安装了，点击安装；

        ⑥ 安装完后即可进入配置介面。

  Fortinet FSSO 设置

        配置介面也可以通过系统菜单里的 Install DC Agent 打打开。

        ① 首先是设置代理IP地址和接收端口，这里通常都为默认，点击下一步；

        ② 会找到这个IP上的域，需要选择这个域，点击下一步；

        ③ 把不需要监控登录记录的用户标记出来；

        ④ DC Agents模式通过监控Windows的登陆事件来完成认证，在实现域中多台域控服务器认证时，需要在每台域控中安装FSSO Agent以实现最大精度的监控； Polling模式则是FSSO每10秒使用轮询方式获取所有域服务器中的用户的登陆信息，在大型部署或异地认证时不适用此模式，这里我们只有一台域服务器，所以选Polling模式，点击下一步；

        ⑤ 配置完成后必须重启域服务器，用于监控用户登录日志。点击是，会重启域服务器。

        ⑥ 重启域服务器后，在系统菜单打开Configure Fortinet Single Sign On Agent；

        ⑦ 启动代理配置后，修改一下密码，此密码要和防火墙上的设置对应。点击应用，这样就可以了。

  防火墙认证配置

        域服务器上配置完成后，就需要登录到防火墙上进行认证配置了。

        ① 选择菜单【用户&设备】-【认证】-【LDAP】，新建一个LDAP服务器，用户名随意取，服务器IP输入刚才安装了FSSO的域服务器的IP地址，标识名称参考域结构，绑定类型选择常规，用户DN随便用域服务器里的哪个用户。

        ② 不知道标识名称怎么填的话，参考域服务器的域结构；

        ③ 点击测试按钮，可以知道配置是否正确；

        ④ 选择菜单【用户&设备】-【认证】-【单点登录】，新建一个单点登录服务器，名称随意取，一级代理IP输入刚才安装了FSSO的域服务器的IP地址，密码为域服务器上FSSO配置介面设置的那个密码。因为可以有多个域服务器和多个FSSO代理，所以下面会有多个选项。LDAP服务器选择刚建立的那个，配置正确网络正常的情况下，下面会出现域服务器里的组结构。

        ⑤ 可以选定用户、组或组织单元为已选。这里我选择了FORTINET组，组里的成员自然就被选了。

        ⑥ 选择菜单【用户&设备】-【用户】-【用户组】，新建一个用户组，用户名随便取，类型选择Fortinet单点登录，成员则是刚才设置单点登录服务器时选择的FORTINET组。配置完成。

        ⑦ 回到FSSO配置介面，点击【Show Service Status】显示服务状态；

        ⑧ 可以看到已经连接到飞塔90D的防火墙了；

        ⑨ FSSO配置介面，点击【Set Group Filters】设定组过滤；

        ⑩ 可以看到显示的内容是防火墙在设置单点登录服务器时的选择项。说明防火墙的配置和域服务器上的FSSO是连接正常的。

  域用户登录

        现在用一台电脑加入域，并用建立的用户名进行登录。

        ① FSSO配置介面，点击【Show Logon Users】显示登录用户；

        ② 可以看到有个MEIXI用户登录了域；

        ③ 防火墙上选择菜单【用户&设备】－【监视器】－【防火墙】，也可以看到meixi用户的信息；

        ④ 通过在CLI上输入命令：diagnose debug authd fsso list，也可以看到有域帐户登录的信息，信息是FSSO收集代理传送给防火墙的。

  只允许域用户上网

        只要建立或修改允许访问外网的策略，在用户里加入前面设置的单点登录用户组，就可以达到只允许域用户上网的目的了。

        经过测试，只有meixi这个用户才能上网，其它都上不了网。当这个帐户退出域后，防火墙上该用户的信息也消失了。

飞塔技术-老梅子   QQ：57389522

---