FortiGate Active Directory Uygulaması v4.00-build0328-2011/08 0
FortiGate (Active Directory) Datasheet FortiGate (Active Directory) Client - A internet Client - B fortigate AD Server 192.168.56.45 switch Client - C Client - D Directory, çok kullanıcılı sistemlerde kullanıcıların, grupların, makinelerin vb. nesnelerin bilgisinin tutulduğu yerdir. Her, çok kullanıcılı işletim sisteminin bir dizin sistemi vardır. Windows ile birlikte gelen dizin sistemine Active Directory (kısaca AD) denir. Şekilde görüldüğü gibi ağımızda bir Active Directory sunucusu (192.168.56.45) ve AD sistemi mevcuttur. Tüm kullanıcılar AD sistemine login olduktan sonra ağa dahil olmaktadırlar. Öncelikle AD sistemi üzerindeki hareketlerden haberdar olabilmek için sunucuya FSSO (Fortinet Single Sign On) yazılımını kuracağız. Ardından gerekli ayarlar ile kullanıcı ve grup bilgilerini FortiGate sistemimize aktaracağız. Sonuçta FortiGate üzerinde kullanıcı ve grup bazında kurallar yazarak oluşan trafik ve hareketlerin loglarında IP adresinin yanısıra kullanıcı adı ve grup bilgilerini de göreceğiz. Örnekte kullanılan sistem : v4.0 MR2 Patch 8 ve FSSO v3.5.068 FortiGate (Active Directory) v400-build0328-2011/08 1
Öncelikle FSSO_Setup_3.5.068.exe dosyasını support.fortinet.com hesabınızdan indirin ve AD sunucunuza aşağıdaki adımları takip ederek kurulumunu tamamlayınız. (/FortiGate/v4.00/4.0MR3/MR3_Patch_1/FSSO) FortiGate (Active Directory) v400-build0328-2011/08 2
Bu aşamada Administrator hesabınızı kullanmanızı öneririz. Serve NTLM... seçeneğini işaretlemeyin ve metod olarak Advanced seçin. FortiGate (Active Directory) v400-build0328-2011/08 3
Install butonuna basarak kurulumu başlatın. Finish butonuna basarak bir sonraki adıma geçin. FortiGate (Active Directory) v400-build0328-2011/08 4
Collector Agent IP Address yazılımı kurduğunuz sunucunun adresidir. İletişim portu olarak standart 8002 portunu kullanır. Bu aşamada AD sunucunuzda kurulu olan domain(ler)in listesi çıkar. Hangi domain(ler)i monitör etmek istiyorsanız listeden seçmelisiniz. FortiGate (Active Directory) v400-build0328-2011/08 5
Bu sayfada monitör etmek istemediğiniz kullanıcıları seçebilirsiniz. DC Agent Mode : Sunucudan bire bir logon bilgilerini alabileceğiniz seçenektir. Polling Mode : Sunucu harici ama domaine dahil olan bir PC den logon bilgilerini alabileceğiniz seçenektir. FortiGate (Active Directory) v400-build0328-2011/08 6
Bu dialog penceresinde Yes seçeneği ile DC sunucu(lar)ı reboot etmenizi tevsiye ederiz. Close butonuna bastıktan sonra sunucunun reboot etmesini bekleyin. Sunucunuz reboot olduktan sonra Programlar menüsünden Fortinet Single Sign On Configuration programını çalıştırın ve aşağıdaki adımları takip edin. Varsayılan Ayarlar FortiGate (Active Directory) v400-build0328-2011/08 7
Son Ayarlar (Log level : Information Log logon... Password : bir parola girin) Daha sonra Apply butonuna basın. Select Domains To Monitor butonuna basarak aşağıdaki işlemleri yapınız. FortiGate (Active Directory) v400-build0328-2011/08 8
Set Directory Access Information butonuna basarak aşağıdaki işlemleri yapınız. Advanced Setting... butonuna basınız. FortiGate (Active Directory) v400-build0328-2011/08 9
FSSO ayarlarını bu şekilde bitirdikten sonra AD sisteminizde kullanıcı gruplarını oluşturunuz. İhtiyacınız kadar Security Group oluşturunuz. Oluşturulan gruplara kullanıcıları atayınız. FortiGate (Active Directory) v400-build0328-2011/08 10
FSSO ayarlarımızı bitirdikten sonra FortiGate cihazımızın ayarlarına geçebiliriz. Öncelikle user ve group bazında daha ince detay işlemler yapabilmek için LDAP tanımını oluşturmalısınız. User DN : Administrator kullanıcısının Distinguished Name tanımı yazılır. [CN=Administrator,CN=Users,DC=rzk,DC=local] Distinguished Name satırındaki emin olunuz. ikonuna tıklayarak AD yapısının hatasız sorgulandığından FortiGate (Active Directory) v400-build0328-2011/08 11
Daha sonra FSSO yazılımının topladığı bilgileri FortiGate e iletmesi ve hangi user/group takip edeceğinin bilgisini paylaşacağı ayarları aşağıdaki gibi yapınız. Password : FSSO üzerinde verdiğiniz şifreyi girmelisiniz. my_ds tanımını seçip Edit Users/Groups butonuna tıklayınız. FortiGate (Active Directory) v400-build0328-2011/08 12
Liste açıldığında takibini yapacağınız kullanıcı ve grupları seçmelisiniz. Seçme işlemlerini tamamladıktan sonra Directory Service altında izlenen grupları görebileceksiniz. Buradan istemediğiniz kullanıcı veya gruplarını silebilirsiniz. FortiGate (Active Directory) v400-build0328-2011/08 13
Fortigate işlemleri bittikten sonra FSSO yazılımı arayüzünde Show Service Status butonuna basarak FSSO ile Fortigate in haberleştiğinden emin olmanız gerekmektedir. Eğer listede Fortigate cihazınızı göremiyorsanız muhtemelen sunucunuzun Firewall sistemi açıktır. Firewall ayarlarında Fortigate IP adresine ya full izin vermelisiniz yada TCP 8000 iznini açmalısınız. Eğer problem olmayacaksa Firewall ayarınızı tamamen kapatmanızı öneririz. Ayrıca Show Monitored DCs butonu ile de takip edilen AD sistemlerinin listede olduğundan emin olunuz. FortiGate (Active Directory) v400-build0328-2011/08 14
Fortigate üzerinde kullanıcı ve grupları kurallarda kullanabilmek için User Group açmalısınız. FortiGate (Active Directory) v400-build0328-2011/08 15
Monitör etmek istediğiniz kullanıcı ve grupları User Group tanımlarında toplayınız. Artık oluşturulan gruplara kural açabilirsiniz. Kural ayarlarında dikkat etmeniz gereken yerler aşağıdaki adımlarda işaretlenmiştir. Gerekli seçimleri yaptıktan sonra Add butonuna basarak her grup için uygun kuralları ekleyebilirsiniz. FortiGate (Active Directory) v400-build0328-2011/08 16
Available User Groups bölümünden hangi gruba kural yazacaksanız onları seçmelisiniz. Her grup için ayrı kural yazmanızı öneririz. Böylece her gruba ayrı izin ve profiller uygulayabilirsiniz. FortiGate (Active Directory) v400-build0328-2011/08 17
Kuralımızda da görüldüğü gibi kullanıcı (fatih_turan) ve kullanıcı gruplarına ayrı ayrı kurallar yazdık ve herbirinde Service, UTM, Traffic Shaping ve Logging bilgileri farklı kullanılabilmektedir. Örneğin user-group-01 kullanıcı grubu sadece internet_servisleri servis grubuyla internete çıkabiliyorken diğer gruplar ANY servisiyle çıkabilmektedir. Son olarak FSAE_Guest_Users grubu ise sistemden otomatik olarak gelmektedir. Eğer internete çıkan pakette domain e dahil olmayan kullanıcı var ise Fortigate bu kişiye guest user olarak algılar ve FASE_Guest_Users grubunda varsayar. Bu kullanıcılar en son tanımladığınız kural ile çıkarlar ve user bilgilerinde guest olarak görürsünüz. FortiGate (Active Directory) v400-build0328-2011/08 18
Tüm bu ayarlar yapıldıktan sonra ilk olarak FSSO yazılımı üzerindeki sisteme Logon olmuş kullanıcıların listede olduğundan emin olmalısınız. Daha sonra bu logon listesinin Fortigate e doğru bir şekilde iletildiğini kontrol etmelisiniz. Listenizde AD sistemine logon olmuş kullanıcıların IP adresi, makina ismi, domain\user, durumu, dahil olduğu grup bilgileri, logon zamanı gibi bilgiler yer almaktadır.fsso agent sistemi kullanıcıların logoff yada shutdown gibi durumlarını algılayabilmek için belirli sürelerde (Workstation verify internal değeri) kullanıcıların Remote Registry servisine bağlanmaktadırlar. Eğer kullanıcıda Firewall yazılımı mevcutsa yada Remote Registry servisi aktif değilse kullanıcının durumu Not Verified olarak listede belirtilir. Bu yüzden kullanıcılara Active Directory üzerinde Group Policy ile bu engelleri kaldıracak ayarları uygulamak gerekmektedir. FortiGate (Active Directory) v400-build0328-2011/08 19
Log ve Haraketleri İzleme collectoragent.log dosyasında kullanıcıların IP adres değişiklikleri, logon ve grup bilgileri logu tutulmaktadır. FortiGate (Active Directory) v400-build0328-2011/08 20
logon_event.log dosyasında FSSO ile Fortigate arasındaki iletişimler, kullanıcıların logon/logoff bilgileri ve belirlenen sürelerde tekrarları bulunmaktadır. FortiGate (Active Directory) v400-build0328-2011/08 21
TEST-FGT111C # diagnose debug authd fsae list ----FSAE logons---- IP: 192.168.56.56 User: FATIH.TURAN Groups: CN=FATIH TURAN,CN=USERS,DC=RZK,DC=LOCAL IP: 192.168.56.58 User: YAKUP.UNAL Groups: CN=YAKUP UNAL,CN=Users,DC=rzk,DC=local+CN=Domain Users,CN=Users,DC=rzk,DC=local+CN=User-Group-01,CN=Users,DC=rzk,DC=local+CN=Users,CN=Builtin,DC=rzk,DC=local IP: 192.168.56.87 User: FATIH.UNAL Groups: CN=FATIH UNAL,CN=Users,DC=rzk,DC=local+CN=Domain Users,CN=Users,DC=rzk,DC=local+CN=User-Group-02,CN=Users,DC=rzk,DC=local+CN=Users,CN=Builtin,DC=rzk,DC=local IP: 192.168.56.57 User: TUNCAY.BAS Groups: CN=TUNCAY.BAS,CN=Users,DC=rzk,DC=local+CN=Domain Users,CN=Users,DC=rzk,DC=local+CN=User-Group-03,CN=Users,DC=rzk,DC=local+CN=Users,CN=Builtin,DC=rzk,DC=local IP: 192.168.56.59 User: HASAN.USLU Groups: CN=HASAN.USLU,CN=Users,DC=rzk,DC=local+CN=Domain Users,CN=Users,DC=rzk,DC=local+CN=User-Group-01,CN=Users,DC=rzk,DC=local+CN=Users,CN=Builtin,DC=rzk,DC=local IP: 192.168.56.68 User: RIFAT.TUNCA Groups: CN=RIFAT.TUNCA,CN=Users,DC=rzk,DC=local+CN=Domain Users,CN=Users,DC=rzk,DC=local+CN=User-Group-03,CN=Users,DC=rzk,DC=local+CN=Users,CN=Builtin,DC=rzk,DC=local IP: 192.168.56.77 User: ADEM.YILMAZ Groups: CN=ADEM.YILMAZ,CN=Users,DC=rzk,DC=local+CN=Domain Users,CN=Users,DC=rzk,DC=local+CN=User-Group-02,CN=Users,DC=rzk,DC=local+CN=Users,CN=Builtin,DC=rzk,DC=local Total number of logons listed: 7, filtered: 0 ----end of FSAE logons---- Fortigate komut satırından yazacağınız komutla FSSO user listesinin Fortigate e iletildiğini kontrol ediniz. TEST-FGT111C # diagnose debug application authd 255 TEST-FGT111C # diagnose debug enable TEST-FGT111C # _event_read[my_ds]: received heartbeat 100798 _event_read[my_ds]: received heartbeat 100800 _event_read[my_ds]: received heartbeat 100802 _process_logon[my_ds]: ADEM.YILMAZ logged on, group:cn=user-group-02,cn=users,dc=rzk,dc=local [authd_fp_notify_logoff:233]: vfid 0, ip 192.168.56.77 [authd_fp_on_user_logoff:207]: vfid 0, ip 192.168.56.77 reset_policy_timeout: clearing policy for 192.168.56.77 vfid=0 _event_read[my_ds]: received heartbeat 100918 _event_read[my_ds]: received heartbeat 100919 _process_logon[my_ds]: YAKUP.UNAL logged on, group:cn=user-group-01,cn=users,dc=rzk,dc=local [authd_fp_notify_logoff:233]: vfid 0, ip 192.168.56.58 [authd_fp_on_user_logoff:207]: vfid 0, ip 192.168.56.58 reset_policy_timeout: clearing policy for 192.168.56.58 vfid=0 _process_logon[my_ds]: HASAN.USLU logged on, group:cn=user-group-01,cn=users,dc=rzk,dc=local [authd_fp_notify_logoff:233]: vfid 0, ip 192.168.56.59 [authd_fp_on_user_logoff:207]: vfid 0, ip 192.168.56.59 reset_policy_timeout: clearing policy for 192.168.56.59 vfid=0 _process_logon[my_ds]: FATIH.UNAL logged on, group:cn=user-group-02,cn=users,dc=rzk,dc=local [authd_fp_notify_logoff:233]: vfid 0, ip 192.168.1.87 [authd_fp_on_user_logoff:207]: vfid 0, ip 192.168.1.87 reset_policy_timeout: clearing policy for 192.168.1.87 vfid=0 FortiGate (Active Directory) v400-build0328-2011/08 22
_process_logon[my_ds]: FATIH.UNAL logged on, group:cn=user-group-02,cn=users,dc=rzk,dc=local [authd_fp_notify_logoff:233]: vfid 0, ip 192.168.56.87 [authd_fp_on_user_logoff:207]: vfid 0, ip 192.168.56.87 reset_policy_timeout: clearing policy for 192.168.56.87 vfid=0 _process_logon[my_ds]: RIFAT.TUNCA logged on, group:cn=user-group-03,cn=users,dc=rzk,dc=local _process_logon[my_ds]: RIFAT.TUNCA logged on, group:cn=user-group-03,cn=users,dc=rzk,dc=local [authd_fp_notify_logoff:233]: vfid 0, ip 192.168.56.68 [authd_fp_on_user_logoff:207]: vfid 0, ip 192.168.56.68 reset_policy_timeout: clearing policy for 192.168.56.68 vfid=0 Bu komutla FSSO dan gelen user logon bilgileri ve diğer haraketleri görebilirsiniz. FortiAnalyzer üzerinde tutulan web loglarında artık kullanıcı adı ve grup bilgilerini de görebilirisiniz. FortiGate (Active Directory) v400-build0328-2011/08 23
Event log bölümünde kullanıcıların authentication hareketlerini ve user-group bilgilerini görebilirsiniz. Ek Kaynaklar : http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-authentication-40-mr2.pdf http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-admin-40-mr2.pdf RZK Mühendislik ve Bilgisayar Sistemleri 1326. Sokak (Eski 71. Sk.) No:5 / 2-4 06460 Öveçler Ankara / Türkiye Tel:+90 (312) 472 15 30 Fax:+90 (312) 472 15 40 FortiGate (Active Directory) v400-build0328-2011/08 24