SSL VPN & Active Directory Entegrasyonu

Active Directory hesapları ile Fortigate üzerinden SSL VPN yapmak mümkündür. Bunun için aşağıdaki adımları izlemelisiniz.

• VPN>SSL bölümüne gelip Enable SSL-VPN chekbox’ını işaretliyoruz. Advanced kısmında DNS sunucularının ip adreslerini giriyoruz.



• Firewall>Address kısmına gelip SSL VPN ile bağlanacak kullanıcıların alacağı ip adres tanımlaması yapıyoruz. Burada dikkat edilecek nokta; tanımladığımız ip adresi bloğu lokalde kullanılan ip adres bloğundan farklı olmak zorundadır.



• User>Remote bölümünde varolan AD tanımından farklı bir AD tanımlaması yapıyoruz. Tek farkı Common Name Identifier kısmına sAMAccountName yazılır.



• Yaptığımız LDAP tanımlamalarını fortigate üzerinde görebiliriz.



• User>User Group kısmında Create New diyerek oluşturduğumuz LDAP tanımını SSL VPN grubuna dahil ediyoruz. Portal’ı full-access olarak seçiyoruz.



• VPN>SSL>Portal kısmına gelip full-access seçeneğini editliyoruz. Tunnel Mode bölümünde  Split Tunneling’i işaretleyerek SSL kullanıcılarının internete çıkarken kendi hatları üzerinden çıkmalarını sağlayabilirsiniz.



• Firewall>Policy bölümünde wan’dan internal’a yeni bir policy oluşturup “Enable Identity Based Policy” işaretliyoruz. “User Authentication Method” olarak LDAP’ı seçiyoruz.



• Daha sonra Add diyerek oluşturduğumuz SSL VPN grubunu sol tarafa geçiriyoruz. Service kısmında ANY seçip OK diyoruz. İsterseniz burada SSL kullanıcıları profilde oluşturabilirsiniz.



• İkinci bir policy yazılarak kullanıcıların ssl.root’tan internal’a ulaşmaları sağlanır.



• Router>Static kısmında SSL VPN network’ü için route yazıyoruz.


                          
                                                                                                                                                                                                                       Yaşar CALAY
      
                                                                                                                                                                                                                       Sorularınız için
                                                                                                                                                                                                                       ycalay@beyaz.net