1. Chứng thực LDAP trên Firewall Fortigate
Bài viết này hướng dẫn cấu hình LDAP dùng một Firewall Fortigate lấy thông tin user từ
Domain controller để áp đặt chính sách cho user của AD ngay trên thiết bị Fortigate. Bài
viết sử dụng mô hình với địa chỉ IP được đặt như sau:
Để Foritegate có thể xác thực được user trên AD ta phải thực hiện 3 bước:
- Chuẩn bị trên AD
- Tạo LDAP server
- Map user của AD vào thiết bị Fortigate
Bắt đầu cấu hình
Bước 1: Trên Domain controller:
Trên AD tạo ra một OU (Organizational Unit), sau đó đưa tất cả user cần quản lý trên
Firewall vào OU này.
Vào cửa sổ command line gõ câu lệnh: dsquery user
Ghi nhận lại các thông số CN, OU, DC
Ngoài ra trên AD không cần phải thực hiện thêm thao tác nào hay cài thêm phần mềm
nào khác.
2. Bước 2: Cấu hình LDAP trên Firewall
Vào phần User & Device -> Authentication-> LDAP Servers, khai báo các thông số như
sau:
+ Name: Đặt tùy ý
+ Server Name/IP: đặt địa chỉ IP của AD
+ ServerPort: để mặc định là 389
+ Conmon Name Identifier: để mặc định là “cn”
+ Disiguished Name: đặt theo đúng thứ tự là OU sau đó là tên của domain, tên domain
được viết theo dạng “DC=…” Ví dụ: “thegioimang.vn” được viết lại thành
“DC=thegioimang,DC=vn” Các thành phần được ngăn cách bằng dấu phẩy, theo đúng
thông số đã được ghi nhận phía trên.
+ Bind type, chọn là Regular.
+ User DN: Nhập đầy đủ các trường như đã ghi nhận ở trên, trong đó trường CN là để
nhập user dùng để xác thực với AD.
+ Password: nhập password của user đã khai báo phía trên.
3. Sau khi khai báo xong các thông số, nhấn Test, nếu có thông báo Successful là ta đã kết
nối thành công với AD
Bước 3: Map các user trên AD lên thiết bị.
Ta vào User & Device -> User-> User Definition, chọn Create new
Trong cửa sổ hiện ra, ta chọn remote LDAP User sau đó nhấn Next.
4. Trong cửa sổ tiếp ta chọn LDAP server vừa cấu hình xong
Tiếp đến ta chọn các user mà ta cần map vào trong cửa sổ tiếp theo, sau đó nhấn Next
Bước4: Confirm Selection, nhấn chọn Done để kết thúc.
5. Vào lại phần User -> User Definition, ta sẽ thấy các user mới đã được map thành công,
Type là LDAP (User được tạo trên Fortigate có type là LOCAL).
Với các user đã được Import từ phía AD ta có thể dùng để áp đặt chính sách, cho phép
kết nối VPN… tùy theo yêu cầu của chúng ta. Bài viết đã được test thành công trên
windows server 2003, 2008 và 2012.
Chúng mọi người thành công