BẠN TÌM GÌ HÔM NAY ...?
Tất cả đều có chỉ trong 1 nốt nhạc !
Nếu cần hỗ trợ chi tiết gọi 1900 633 326
Nội dung
Trong bài viết này, Mình sẽ hướng dẫn các bạn cấu hình LDAP trên firewall Fortigate để ánh xạ người dùng hoặc nhóm người dùng trên AD server vào Fortigate
LDAP là viết tắt của Lightweight Directory Access Protocol, là một giao thức ứng dụng truy cập các cấu trúc thư mục. Một cấu trúc thư mục là một tập hợp các đối tượng có các thuộc tính hay đặc điểm tương tự và được sắp xếp theo logic thành nhiều cấp bậc.
Trong trường hợp của bài lab này, các bạn có thể hiểu đơn giản nó là các Group User và User trong đó. Fortigate sẽ kết nối tới LDAP Server và lấy thông tin về User và User Group và sử dụng cho các chính sách tường lửa hoặc kết nối VPN tùy theo nhu cầu sử dụng.
Mình đang sử dụng 1 mô hình đơn giản gồm 1 firewall Fortigate, 1 server đang chạy windows server 2016, mình sẽ dựng LDAP server và tạo các user trên server này. Một máy tính bên dưới này để mình thử test xác thực với các user. Mình sẽ cấu hình trên Fortigate để lấy các user trên AD về, và sử dụng các user này để xác thực khi người dùng truy cập internet.
Trước tiên trên server mình sẽ tạo các user và user để xác thực cho Fortigate. Server này mình đã dựng sẵn 1 AD rồi . Phần Build 1 AD này thì đơn giản thôi, các bạn chỉ cần vào Add role and features, add role là Active Directory Domain Services, sau đó cấu hình 1 New Forest Domain là được
Sau khi cài xong AD, các bạn vào Active Directory Users and Computers.
Phần tạo OU này là tùy theo nhu cầu của các bạn, các bạn có thể tạo nhiều OU lồng vào nhau theo cấu trúc dạng tree đều được. Mình sẽ chỉ tạo 1 OU chứa các User và User Group cho dễ nhìn. Các bạn kích chuột phải vào domain name, chọn New > Organizational Unit để add thêm 1 OU.
Trong OU này mình sẽ tạo 2 User Group là Ky-Thuat và Kinh-Doanh. Các bạn kích chuột phải vào OU CNTTSHOP, chọn New > Group và nhập tên Group. Các bạn làm tương tự với 2 Group Ky-Thuat và Kinh-Doanh.
Tiếp theo mình sẽ tạo 4 User cho 2 Group để test xác thực. Kích chuột phải vào OU, chọn New > User. Mình sẽ tạo các user là tech1, tech2, sale1, sale2.
Sau đó add các user này vào group tương ứng. Kích chuột phải vào User và chọn Add to a group, gõ tên Group mà các bạn đã tạo ở trên. Các bạn làm tương tự với các User khác
Tiếp theo trên Fortigate mình sẽ cấu hình LDAP để lấy user về. Các bạn vào menu User & Authentication > LDAP Servers. Nhấn Create New để cấu hình LDAP Server.
Các bạn nhập các thông số của LDAP Server để kết nối:
Sau khi kết nối LDAP thành công, các bạn vào menu User Groups để lấy các tài khoản về. Chọn Create New.
Chọn Remote Server là LDAP server mà các bạn vừa cấu hình. Fortigate sẽ liệt kê tất cả các group có trong AD.
Các bạn kích vào dấu +, Chọn OU là CNTTSHOP, ở đây có 2 User Group mà mình đã tạo trên server trước đó. Các bạn nhấn Add all Results để add toàn bộ group vào firewall, hoặc kích chuột phải vào Group rồi chọn Add Selected cũng được. Mình sẽ chia Group giống như trên AD, nên mình sẽ add từng group vào tương ứng với Group mà mình tạo trên Firewall. Tương tự các bạn tạo 1 Group với Ky-Thuat.
Tiếp theo các bạn vào menu User Definition, chọn Create New. User Type chọn Remote LDAP User, nhấn Next.
Chọn LDAP Server đã cấu hình, nhấn Next.
Trong phần này các bạn cũng chọn OU là CNTTSHOP đã tạo để loại bỏ các user không cần thiết. Sau đó add các user tương tự như với group, mình sẽ chọn Add All Results. Nhấn Submit.
Khi đó tất cả các User có trong OU mà các bạn đã tạo sẽ được thêm vào Firewall với Type là LDAP.
Quay lại menu User Groups và add các user này vào group tương ứng.
Như vậy là các bạn đã có thể sử dụng các user trong LDAP server để thiết lập các chính sách tường lửa hoặc sử dụng cho VPN.
Trong bài viết này thì mình sẽ test thử với các policy nhé. Còn VPN các bạn cũng chỉ cần thay user local bằng user LDAP thôi. Mình đang có 1 máy tính thuộc dải LAN, mình sẽ add các user LDAP vào trong policy cho phép dải LAN truy cập internet.
Các bạn Edit Policy muốn xác thực với tài khoản LDAP, và thêm user Group vào phần source của policy. Mình sẽ Edit policy mà người dùng trong LAN truy cập ra internet.
Bây giờ các PC khi truy cập Internet sẽ cần phải có 1 tài khoản thuộc LDAP. Đăng nhập đúng thì PC đó sẽ tiếp tục được truy cập. Yêu cầu đăng nhập này sẽ là bắt buộc cho mỗi lần máy tính khởi động, sau khi đăng nhập xong thì PC đó sẽ truy cập bình thường.
Như vậy là mình đã hướng dẫn các bạn cấu hình LDAP trên Fortigate. Chúc các bạn thành công!Siêu Siêu Nhỏ cung cấp đa dạng các Server đáp ứng yêu cầu cho Doanh Nghiệp
Tham khảo các ưu đãi: https://www.sieuthimaychu.vn/index.php/Uu_Dai/
Ngoài ta bạn có thể tham khảo thêm 1 số bài viết liên quan tại đây
SSN Tech Solutions – Máy chủ chuyên nghiệp, Giải pháp công nghệ hàng đầu
Liên hệ Bộ phận Kinh doanh và giải pháp công nghệ:
Điện thoại: +84 28 7307 3776 / +84 24 7307 3776
Hotline: 1900 633326
Email: info@sieuthimaychu.vn
Trung Tâm Kinh Doanh & Bảo Hành:
344 Huỳnh Tấn Phát, Phường Bình Thuận, Quận 7, TP.HCM
Điện thoại : (028) 73073776
Trung Tâm Kinh Doanh & Bảo Hành:
Tầng 9, toà nhà Diamond (Handico 6), Số 2 Hoàng Đạo Thuý, Trung Hoà Nhân Chính, Quận Thanh Xuân, Hà Nội
Điện thoại: (024) 73073776