EN
EN

FSSO (Fortinet Single-Sign-On) Kurulumu Nasıl Yapılır?


Fortigate UTM ürünleri ile Active-Directory entegrasyonu güvenlik açısından yapılması gereken bir işlemdir. FSSO Agent ile DC üzerinde bulunan bir kullanıcıyı gruba dahil ederek kontrol etmemizi sağlar. Group policy ile kural oluşturulup DC üzerindeki kullanıcıya kuralı entegre edilebilir.

FSSO agent indirilmesi ve kurulumu:

FSSO entegrasyonu Windows Server işletim sistemi ile yapılabilmektedir. FSSO Agent indirebilmek için www.support.fortinet.com bağlantısında kullanıcı adı ve parolanız ile giriş yapıldıktan sonra aşağıdaki adımlar takip edilmelidir. FSSO agent ile Fortigate aynı sürüm olmasına dikkat edilmelidir.

1. Support --> Firmware Download

2. Select Product: FortiGate

3.Download

4. Fortigate ile FSSO agent aynı sürüm olması önerildiği için fortigate ‘in sürümü öğrenilip, Download sekmesi üzerinden aynı sürüm FSSO klasörü içerisine girilir.

5. FSSO klasörü içerisinde bulunan “FSSO_Setup_5.0.0306_x64.exe” uzantılı agent’ı “HTTPS”sekmesine tıklanarak indirilir.

6. Yüklenilen FSSO Agent’ı Active-Directory üzerine kurulabilir. Active Director üzerinde bir FSSO kullanıcısı oluşturulması gerekmektedir. Kullanıcıyı oluşturmak için Araçlar içerisinden Active Directory Kullanıcıları ve Bilgisayarları sekmesi seçilir.

7. Active Directory Kullanıcıları ve Bilgisayarları sekmesi içerisinde USER klasörü içerisine gelinir.

8. USER klasörü içerisinden bir FSSO kullanıcısı oluşturulur. (Sağ Tıkla > Yeni > Kullanıcı)

9. Oluşturulan kullanıcı logları alabilmesi için genellikle Event Log Reader yetkisi yeterli olur fakat logları alamadığı durumlarda Domain Admins yetkisini eklememiz gerekir. (Kullanıcı Üzerinde Sağ Tıkla > Üyelik Sekmesi > Event Log Reader(Domain Admins) > Adları Denetle > Tamam )

10. FSSO Agent kullanıcı oluşturuldu. FSSO Agent Active-Directory üzerine kurulum aşamasına geçilebilir.

11. FSSO Agent yüklemek istediğimiz klasörü belirlenir.

12. Gelen ekranda kullanıcı adı ve parola yazılır.

13. Detaylı bir loglama için ve daha stabil bir şekilde çalıştığından dolayı Advanced mode seçilir.

14. Collector Agent’ın çalıştığı IP adresi ve portu otomatik olarak gelmektedir.

15. Bir DC’de birden fazla domain olabilir. Hangi domain ile işlem yapılacaksa o domain seçilir.

Kullanıcı oturum açmasını kontrol etmek için DC Agent ve Polling Mode olmak üzere 2 yöntem bulunmaktadır.

DC Agent Mode: Her domain controllera Fortinet Authentication kurulması gerekir. Kullanıcı oturum açma bilgilerini Fortigate cihazına yönlendirir.

Polling Mode: Polling modda Collector Agent, kullanıcı oturum açma bilgilerini birkaç saniyede bir tüm DC lerde 445 portu üzerinden yoklar ve bunları Fortigate cihazına gönderir. DC agent kurulumuna gerek yoktur ve bu yüzden Collector Agent tüm DC lerde bilgileri doğrudan toplar.

Bu örnekte DC Agent Mode kullanılacaktır.

16. FSSO Agent kurulumu tamamlandığında sistem kendisini yeniden başlatır. Başlat menüsünde Agent’ın konfigürasyonlarını yapmak için Configure Fortinet Single Sign On Agent’ı açıyoruz.

17. Configure Fortinet Single Sign On Agent açtıktan sonra (Run Administrator) butonuna tıklıyoruz. Collector Agent Status:RUNNING olması gerekmektedir.

18. Logging > Log level kısmında Information logları çekmesi için değiştirilir. Password kısmına Fortigate ile bağlantı esnasında gireceğimiz parolayı giriyoruz ve Apply diyoruz.

FSSO Agent FortiGate ile entegre edilmesi:

19. FortiGate cihazında ayarları yapabilmek için ilk olarak Security Fabric menüsü altında External Connectors içerisine girilir. Create new seçilip Endpoint/Identity altında FSSO Agent on Windows AD seçilir.

20. Fortinet Single Sign-On Agent içerisinde geldikten sonra; Name kısmında isim verilir, Primary FSSO Agent kısmına DC IP adresini yazılır. Parola kısmınıda girdikten sonra Collector Agent seçilir ve Apply & Refresh seçilir. (Parola Fortinet Single Sign On Agent Configuration kısmında oluşturulan password girilmelidir.)

21. External Connector kısmına gelinir ve FSSO Agent başarılı şekilde bağlantı kurduğu ve Up durumda olduğunu görüyoruz.

(Not: Eğer Up duruma geçmezse, Agent’da verdiğimiz parolanın doğruluğunu kontrol edilmeli veya DC Server’ımızın güvenlik duvarını kapalı olduğu kontrol edilmelidir.)

DC üzerindeki kullanıcıları veya grupları FSSO ile ekleme:

1. DC üzerindeki kullanıcı veya grupları Fortigate’ye eklemek için User & Device menüsünün altında User Definition içerisine girilip Create New seçilir.

2. Create New içerisinde User Type FSSO olarak seçilip next seçilir.

3. Remote Groups menüsü içerisinde istenilen FSSO Agent’ı seçilir ve AD Groups içerisinde eklemek istediğimiz grup seçilir.

4. Local Group sekmesi altında Create New seçilerek gruba isim verilir ve grup ekleme işlemi tamamlanır.

5. Son olarak DC üzerindeki kullanıcı veya grupları internete çıkartmak için kural yazmamız gerekmektedir.

Policy & Objects --> Firewall Policy --> Create New

 

Yazar: Furkan Tunçel / BeyazNet Ağ Güvenlik Mühendisi