2011 FortiGate (Terminal Server) [Bu dökümanda Terminal Server üzerinden internete çıkan kullanıcılara, kullanıcı bazında kural ve UTM işlemlerinin nasıl uygulandığı anlatılmıştır.] v400-build0328-rev.01 RZK Mühendislik ve Bilgisayar Sistemleri 0
FortiGate (Terminal Server) Terminal Server Üzerinden Datasheet FortiGate (Terminal Server) Client - A internet Client - B fgt-110c terminal server 192.168.56.45 switch Client - C Client - D Şekilde görüldüğü gibi client kullanıcılar internete çıkış işlemlerini Terminal Sunucu üzerinden gerçekleştirmektedir. Her client, Terminal Sunucunun IP adresi ile FortiGate cihazına doğru yönlenmektedir. Bu durumda FortiGate üzerinde herkes aynı IP ile göründüğünden IP bazında web filtreleme yapmak mümkün olmayacaktır. Bu bakımdan aşağıdaki adımları uyguladığımızda her kullanıcıya ayrı WebFilter uygulanabilecektir. Örnekte kullanılan sistem : FortiGate-110C v4.0 MR2 Patch 8. FortiGate (Terminal Server) v400-build0328-rev.01 1
Öncelikle FortiGate in Terminal Sunucu tarafına bakan interface özelliklerinde Explicit Proxy - enable - edilecektir. FortiGate üzerindeki Web Proxy ayarlarında HTTP işaretlenir. FortiGate (Terminal Server) v400-build0328-rev.01 2
Daha sonra Terminal Sunucu üzerindeki Internet Explorer browser ayarlarında Proxy IP Adresi olarak ic ag portunun IP adresi girilir. (Tools[Araçlar] Internet Options[Internet Seçenekleri] Connections[Bağlantılar] LAN Settings[Ağ Ayarları]) Internet Explorer da Tools[Araçlar] Internet Options[Internet Seçenekleri] Security[Güvenlik] Custom Level[Özel Düzey] menüsünde User Authentication seçeneği Automatic logon with current username and password seçilir. FortiGate (Terminal Server) v400-build0328-rev.01 3
FortiGate uzerinde LDAP tanımı yapılır ve Directory Service ile ilişkilendirilerek kullanıcılar AD sisteminden çekilir. FortiGate (Terminal Server) v400-build0328-rev.01 4
Not : Yukarıdaki ayarların doğru çalışabilmesi için, DC Server üzerinde FSSO veya FSAE yazılımının kurulu olması gerekmektedir. FortiGate (Terminal Server) v400-build0328-rev.01 5
Sistemden çekilen kullanıcılar kullanıcı gruplarına eklenerek User Group oluşturulur. Daha sonra bu gruplar farklı profillerle internete doğru kuralları açılır. Burda dikkat edilmesi gereken nokta Active Directory içersinde terminal server kullanıcılarına veya tüm userlara bir group policy uygulayarak her kullanıcı için internet explorer proxy ayarlarının geçerli olması sağlanır. Internet Explorer proxy ayarlarını tüm kullanıcılara uygulamaz isek, her kullanıcı için internet explorerda ayrı ayrı proxy ayarı yapmak gerekir. Bunu group policy ile toplu halde yapmanızı öneririz. Ve ayrıca kullanılan protocol options içerisinde http portu olarak proxy ayarlarına girdiğimiz port eklenir. Yukarıda anlatılan basamaklar, gerçek bir ortamda test edilmiş olup, terminal server kullanıcılarının internet kullanımlarımda aynı IP olmasına rağmen, NTLM ile session tabanlı user kontrolü sağlanmış olup, loglarda gerekli user bilgileri görülmüştür. Ek Kaynaklar : http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-authentication-40-mr2.pdf http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-admin-40-mr2.pdf RZK Mühendislik ve Bilgisayar Sistemleri 1326. Sokak (Eski 71. Sk.) No:5 / 2-4 06460 Öveçler Ankara / Türkiye Tel:+90 (312) 472 15 30 Fax:+90 (312) 472 15 40 FortiGate (Terminal Server) v400-build0328-rev.01 6