Hướng dẫn cấu hình LDAP Server trên Firewall Fortigate

  • Friday 07/07/2023

Hướng dẫn cấu hình LDAP Server trên Firewall Fortigate

Trong bài viết này, Mình sẽ hướng dẫn các bạn cấu hình LDAP trên firewall Fortigate để ánh xạ người dùng hoặc nhóm người dùng trên AD server vào Fortigate

LDAP là gì?

LDAP là viết tắt của Lightweight Directory Access Protocol, là một giao thức ứng dụng truy cập các cấu trúc thư mục. Một cấu trúc thư mục là một tập hợp các đối tượng có các thuộc tính hay đặc điểm tương tự và được sắp xếp theo logic thành nhiều cấp bậc.

Trong trường hợp của bài lab này, các bạn có thể hiểu đơn giản nó là các Group User và User trong đó. Fortigate sẽ kết nối tới LDAP Server và lấy thông tin về User và User Group và sử dụng cho các chính sách tường lửa hoặc kết nối VPN tùy theo nhu cầu sử dụng.

Mô hình Lab

ldap

Mình đang sử dụng 1 mô hình đơn giản gồm 1 firewall Fortigate, 1 server đang chạy windows server 2016, mình sẽ dựng LDAP server và tạo các user trên server này. Một máy tính bên dưới này để mình thử test xác thực với các user. Mình sẽ cấu hình trên Fortigate để lấy các user trên AD về, và sử dụng các user này để xác thực khi người dùng truy cập internet.

Tạo User và User Group trên Windows Server 2016

Trước tiên trên server mình sẽ tạo các user và user để xác thực cho Fortigate. Server này mình đã dựng sẵn 1 AD rồi . Phần Build 1 AD này thì đơn giản thôi, các bạn chỉ cần vào Add role and features, add role là Active Directory Domain Services, sau đó cấu hình 1 New Forest Domain là được

Sau khi cài xong AD, các bạn vào Active Directory Users and Computers.

ldap

Phần tạo OU này là tùy theo nhu cầu của các bạn, các bạn có thể tạo nhiều OU lồng vào nhau theo cấu trúc dạng tree đều được. Mình sẽ chỉ tạo 1 OU chứa các User và User Group cho dễ nhìn. Các bạn kích chuột phải vào domain name, chọn New > Organizational Unit để add thêm 1 OU.

ldap

Trong OU này mình sẽ tạo 2 User Group là Ky-Thuat và Kinh-Doanh. Các bạn kích chuột phải vào OU CNTTSHOP, chọn New > Group và nhập tên Group. Các bạn làm tương tự với 2 Group Ky-Thuat và Kinh-Doanh.

ldap

Tiếp theo mình sẽ tạo 4 User cho 2 Group để test xác thực. Kích chuột phải vào OU, chọn New > User. Mình sẽ tạo các user là tech1, tech2, sale1, sale2.

ldap

Sau đó add các user này vào group tương ứng. Kích chuột phải vào User và chọn Add to a group, gõ tên Group mà các bạn đã tạo ở trên. Các bạn làm tương tự với các User khác

ldap

Cấu hình LDAP Server trên Fortigate

Tiếp theo trên Fortigate mình sẽ cấu hình LDAP để lấy user về. Các bạn vào menu User & Authentication > LDAP Servers. Nhấn Create New để cấu hình LDAP Server.

ldap

Các bạn nhập các thông số của LDAP Server để kết nối:

  • Server IP/Name: các bạn nhập địa chỉ IP của máy chủ mà các bạn đã cài AD lên.
  • Server Port: để mặc định 389.
  • Common Name Identifier: các bạn nhập giá trị sAMAccountName.
  • Distinguished Name: thì cấu trúc của nó sẽ là DC= 2 giá trị trước và sau dấu chấm trong domain name. Ví dụ domain của mình là cnttshop.vn, thì giá trị ở đây sẽ là DC=cnttshop,DC=vn.
  • Bind Type: chọn Regular.
  • Username: các bạn nhập theo cấu trúc trong AD, đây là tài khoản admin có quyền quản trị AD. Cấu trúc tương tự như khi các bạn đăng nhập trên các PC đã Joint vào domain.
  • Nhấn Test ConnectivityStatus báo Successful là OK.

ldap

Sau khi kết nối LDAP thành công, các bạn vào menu User Groups để lấy các tài khoản về. Chọn Create New.

  • Type: chọn Firewall.
  • Chọn Add trong Remote Groups.

ldap

Chọn Remote Server là LDAP server mà các bạn vừa cấu hình. Fortigate sẽ liệt kê tất cả các group có trong AD.

Các bạn kích vào dấu +, Chọn OU là CNTTSHOP, ở đây có 2 User Group mà mình đã tạo trên server trước đó. Các bạn nhấn Add all Results để add toàn bộ group vào firewall, hoặc kích chuột phải vào Group rồi chọn Add Selected cũng được. Mình sẽ chia Group giống như trên AD, nên mình sẽ add từng group vào tương ứng với Group mà mình tạo trên Firewall. Tương tự các bạn tạo 1 Group với Ky-Thuat.

ldap

Tiếp theo các bạn vào menu User Definition, chọn Create NewUser Type chọn Remote LDAP User, nhấn Next.

ldap

Chọn LDAP Server đã cấu hình, nhấn Next.

ldap

Trong phần này các bạn cũng chọn OU là CNTTSHOP đã tạo để loại bỏ các user không cần thiết. Sau đó add các user tương tự như với group, mình sẽ chọn Add All Results. Nhấn Submit.

ldap

Khi đó tất cả các User có trong OU mà các bạn đã tạo sẽ được thêm vào Firewall với Type là LDAP.

ldap

Quay lại menu User Groups và add các user này vào group tương ứng.

ldap

Như vậy là các bạn đã có thể sử dụng các user trong LDAP server để thiết lập các chính sách tường lửa hoặc sử dụng cho VPN.

Xác thực người dùng bằng User LDAP

Trong bài viết này thì mình sẽ test thử với các policy nhé. Còn VPN các bạn cũng chỉ cần thay user local bằng user LDAP thôi. Mình đang có 1 máy tính thuộc dải LAN, mình sẽ add các user LDAP vào trong policy cho phép dải LAN truy cập internet.

Các bạn Edit Policy muốn xác thực với tài khoản LDAP, và thêm user Group vào phần source của policy. Mình sẽ Edit policy mà người dùng trong LAN truy cập ra internet.

ldap

Bây giờ các PC khi truy cập Internet sẽ cần phải có 1 tài khoản thuộc LDAP. Đăng nhập đúng thì PC đó sẽ tiếp tục được truy cập. Yêu cầu đăng nhập này sẽ là bắt buộc cho mỗi lần máy tính khởi động, sau khi đăng nhập xong thì PC đó sẽ truy cập bình thường.

ldap

 

Như vậy là mình đã hướng dẫn các bạn cấu hình LDAP trên Fortigate. Chúc các bạn thành công!Siêu Siêu Nhỏ cung cấp đa dạng các Server đáp ứng yêu cầu cho Doanh Nghiệp

Tham khảo các ưu đãi: https://www.sieuthimaychu.vn/index.php/Uu_Dai/

Ngoài ta bạn có thể tham khảo thêm 1 số bài viết liên quan tại đây

SSN Tech Solutions – Máy chủ chuyên nghiệp, Giải pháp công nghệ hàng đầu

Liên hệ Bộ phận Kinh doanh và giải pháp công nghệ:

  • Tp.HCM: 344 Huỳnh Tấn Phát, Phường Bình Thuận, Quận 7
  • Tp.HN: Tầng 9, tòa nhà Diamond, Số 2 Hoàng Đạo Thúy, Quận Thanh Xuân

Điện thoại: +84 28 7307 3776 / +84 24 7307 3776
Hotline: 1900 633326
Email: info@sieuthimaychu.vn

  • Công ty TNHH Siêu Siêu Nhỏ

    VĂN PHÒNG PHÍA NAM

    Trung Tâm Kinh Doanh & Bảo Hành:
    344 Huỳnh Tấn Phát, Phường Bình Thuận, Quận 7, TP.HCM
    Điện thoại : (028) 73073776

    VĂN PHÒNG PHÍA BẮC

    Trung Tâm Kinh Doanh & Bảo Hành:
    Tầng 9, toà nhà Diamond (Handico 6), Số 2 Hoàng Đạo Thuý, Trung Hoà Nhân Chính, Quận Thanh Xuân, Hà Nội
    Điện thoại: (024) 73073776