The Power to Control™

Configuración de FSSO con la opción “Poll Active Directory Service” El siguiente documento es una guía que permite configurar la autenticación de Single Sign-On (SSO) utilizando el cliente nativo del Fortigate en versión 5. El Escenario planteado incluye: 1 Fortigate VM, corriendo la versión 5.0.3 1 Windows Server 2003. Enterprise Edition SP2. (Corriendo los servicios de AD, DNS) 1 Windows XP SP2 El diagrama de conectividad es el siguiente:

The Power to Control™

Se debe definir inicialmente el Servidor de AD, como un ldap Server. Para esto se recomienda crear una cuenta en el AD que permita el Fortigate realizar consultas al Directorio. Un punto importante en esta definición es que el Usuario creado debe pertenecer al grupo “Administrators” para que pueda hacer Poll de los Security Events del AD, validando los eventos de Logon/Logoff del dominio. Recuerde que en el User DN, necesita el Distinguished Name de la cuenta creada.

A nivel de comandos tenemos lo siguiente: config user ldap edit "AD" set server "192.168.1.2" set cnid "sAMAccountName" set dn "DC=xtremeteam,DC=com" set type regular set username "cn=Fortigate Services,cn=Users,DC=xtremeteam,dc=com" set password ENC bC5jAB9wewyZYfJ/txQd06MbKfrSjlbqQP9zoTLLva+8eMB7+GD/2U2oC9QBsZDitKiLdDOWyCF2DHpW69Al91vygh95NlJlvTmvBuMuK8WqM43/W8vjaPkvRuYQz45J8qd9kK8k0wti1pz7HfJkt5ip3CIrKvp0F2XtNHBpQTXwbUqJIJxeRABBGUXB708fBaSVnw== next end

The Power to Control™

Tome en cuenta que lo que nos interesa mapear con los grupos del Fortigate son los grupos de Seguridad de Windows. Por lo cual el administrador del Dominio debe haber creado grupos y asociados los usuarios con esos grupos. En este ejemplo son los grupos: group1 y group2. Y los usuarios User11,User14 estan asociados con el group1 y los usurios User21 y User24 con el group2.

The Power to Control™

Recuerde validar que el Usuario creado para el Fortigate pertenezca al grupo Administrators.

Ya con estos parametros verificados, se procede a definir el Servidor Single Sign-On sin cliente instalado en los Servidores. Se coloca el user creado para el Fortigate y se escoje el servidor de LDAP para hacer el Query de los grupos.

The Power to Control™

Lo siguiente es verificar que la configuración se realizó de forma exitosa y que se puedan visualizar los grupos en el Tab de View Users/Groups. Note que la opcion de Status esta con el Check y en color verde.

Y los grupos escogidos se encuentran visibles.

The Power to Control™

Como comentamos anteriormente, si el usuario del Fortigate no se encuentra en el grupo “Administrators” nos vamos a percatar que el Status del Servidor es desconocido y aparece de la siguiente forma removiendo el grupo de “Administrators” al usuario.

The Power to Control™

Con estos pasos validados también podemos visualizar con comandos cual es el status de esta configuración.

Note en la línea “most recent connection status: connected”. Eso significa que la configuración está bien. Luego de esto procedemos a crear los grupos en el Fortigate y a mapearlos con los grupos del AD.

The Power to Control™

Con esto procedemos a crear la política que controlará la salida de estos 2 grupos.

Antes de proceder a realizar pruebas con las PCs, ejecute este comando para que los Logon de los usuarios comiencen a ser leídos por el Fortigate. FortiGate-VM64 # diagnose debug fsso-polling refresh-user 0 refresh completes. All logon users are obsolete. Please re-logon to make them available.

The Power to Control™

Procedemos a probar que todo funcioné según lo pensado, realizando login en la estación de trabajo de prueba.

Use el siguiente comando para validar que los Logons están siendo leidos y que aparece el detalle de los grupos del AD. FortiGate-VM64 # diagnose debug enable FortiGate-VM64 # diagnose debug fsso-polling user FSSO: vd index(0), AD_Server(192.168.1.2), Users(1) IP: 192.168.1.20 Workstation: 192.168.1.20 User: XTREMETEAM/user11 Groups: CN=group1,CN=Users,DC=xtremeteam,DC=com Time: Sat Sep 7 10:23:34 2013 FortiGate-VM64 #

The Power to Control™

Procedemos a revisar por el GUI también:

Y ya con esto podemos estar seguros que las políticas de Firewall estarán siendo aplicadas de forma correcta para los grupos del dominio.

The Power to Control™

Qué pasa cuando el usuario de Servicio no puede pertenecer al grupo Administrators o Domain Administratrors? Para esto debemos solicitar al Administrador del servidor validar y realizar estos cambios para la cuenta de Servicio. En caso de no poder obtener un usuario Administrador del Controlador de Dominio o Administrador de Dominio, el mínimo permiso que dicho usuario requiere es: “Manage auditing and Security log”. Dicho permiso puede ser asignado directamente al usuario o a un grupo creado específicamente para ser asignado al usuario de fortigate. El Permiso se debe definir en los Settings o Configuraciones de Seguridad del Controlador de Dominio.

The Power to Control™

Si queremos comprobar o demostrar al Administrador del Servidor que el cambio es necesario, podemos correr una captura de Sniffer y con Wireshark se puede ver fácilmente si el usuario tiene los permisos necesarios, haciendo una captura en el port 445

Observar las últimas líneas

The Power to Control™

Activando la auditoria de privilegios para “Success” y “Failure” en el AD es mas sencillo comprobar la falta del permiso para el usuario:

Se puede revisar en el Event Viewer si efectivamente el usuario tiene los privilegios necesarios:

The Power to Control™

Abriendo el evento en si podemos confirmar que privilegio es el que le falta: SeSecurityPrivilege, el cual se obtiene mediante el permiso de “Manage auditing and Security log”

Se puede ver claramente que el usuario de servicios no tiene algún privilegio

The Power to Control™

Con los permisos correctos el Event Viewer mostraría los eventos así:

The Power to Control™