Integrando a autenticação LDAP com FortiOS

Após muito tempo estou de volta, neste post irei demonstrar os passos necessário para conexão do Fortigate a um servidor LDAP, que neste post será o AD. As mudanças para conectar com um OPENLDAP são bem simples.

 

Mãos na massa e vamos começar.

O que precisamos do AD é ter um usuário para realizar querys Ldap na base do AD e um ou mais grupos que serão utilizado para autenticação.

No Fortigate vá em:

User & Device > Authentication > LDAP Servers > Create New

Ldap-1

Campos:

Name: Nome da conexão.

Server Name/IP: Endereço FQDN ou IP do AD se for o FQDN o Firewall deve ter como DNS o endereço do AD.

Server Port: A porta do AD para conexões criptografadas é 636 para isso é necessário importar o certificado do AD no Fortigate, isso fica para um outro post.

Common Name Identifier: É o campo no AD que contém o nome de usuário como utilizado para logon, no caso do OPENLDAP normalmente é uid .

: É o domínio ou OU que deseja realizar a pesquisa, tem que ser adicionado no padrão x.500.

Bind Type: Irei utilizar o Regular para passar um usuário e senha para a query LDAP.

User DN: Usuário da base do AD, com uma instalação default do AD sem nenhum Hardening qualquer usuário valido pode realizar a pesquisa.

Password: Senha do usuário acima.

Com isso pronto vamos fazer o teste de conexão.

Na versão que estou testando tem um BUG da console WEB onde retorna um erro quando clico no Botão Test, por isso irei utilizar o test via comando de linha

Via CLI executamos a seguinte linha de comando:

diagnose test authserver ldap <server>  <usuário> <senha>

Seguido do nome do servidor um usuário valido do AD e a senha deste usuário .

Ficando assim o comando:

diagnose test authserver ldap Server_AD william.costa MinhaSenha

Se tudo ocorrer bem a saída do Comando será algo parecido com isso:

diagnose test authserver ldap Server_AD william.costa MinhaSenha
authenticate ‘william.costa’ against ‘Server_AD’ succeeded!
Group membership(s) – CN=GRP-Tecnico,OU=Novos-Grupos,DC=trtec,DC=com
CN=VPN_SSL,CN=Users,DC=trtec,DC=com
CN=Usuários da área de trabalho remota,CN=Builtin,DC=trtec,DC=com
CN=Usuários do domínio,CN=Users,DC=trtec,DC=com

Conseguimos conectar no AD e a autenticação ocorreu com sucesso, retornando os Grupos que o usuário william.costa pertence no AD.

A listagem dos grupos é realizada para podermos autenticar o usuário, não só se o usuário e senha estão certos, mas, se também o usuário pertence a um determinado Grupo, como um grupo que libera o acesso a uma VPN ou um perfil especifico de acesso WEB. 🙂

Agora vamos criar um Grupo no Fortigate e associar o mesmo a um grupo do LDAP.

Vá em User & Device > User > User Groups > Create New

Grupo

Campos:

Name: Adicione um nome a sua escolha

Type: Selecione Firewall.

Remote Groups: Selecione o Servidor criado anteriormente e desmarque a opção de Any e adicione o Caminho completo do Grupo no padrão x.500

 

Com isso pronto é só adicionar a uma política de VPN ou de outro tipo de acesso.

Fico por aqui.

Até mais.