Merhaba
Bu makalemizde Active Directory ile Fortigate Firewallımızı tümleşik çalıştırarak kullanıcılarımızın denetimini active directory domain server daki kısıtlamalara göre yapacağız.Bu şekilde ip belirtmeksizin kullanıcılarımız internete active directorydeki user haklarına göre yetki ile internete çıkabilecek.
Kısaca Yapımız
{gallery}f1/fortigate-ad/yapi{/gallery}
Fortigate – Nat-route mode,Transparent
Windows 2003,2008 dc
Fortigate Firmware V4 Build 0099 (Bu firmware end of life olmayan ürünlerde kullanılabilinir.)
İhtayıcınız için ekteki linkten firmware ve fsae yazılımı indirebilirsiniz.
ftp://mail.f1bilgisayar.com/FortiGate/V4.00/fortigate_v4_4.0.2_build_099
ftp://mail.f1bilgisayar.com/FortiGate/V4.00/fortigate_v4_4.0.2_build_099/fsae/FSAE_Setup_3.5.040.exe
Yapımızın yukarıdaki resimdeki gibi olduğunu düşünerek kuruluma başlıyalım
Basit bir yapıda bu sistem sorunsuzca çalışıcaktır.Çoklu domain ortamında lütfen profosyonel hizmet alarak bu işe başlayınız.Öncelikle birinci tavsiyemiz işleme başlamadan mutalaka öce Fortinet Fortigate Firewallımınız yedeğiniz alıyoruz.Daha sonra windows sunucumuzun yedeğini alıyoruz.
Backup İşlemleri
Fortigate tarafı = system=>maintanence=>backup diyerek karşımıza çıkan dosyayı bilgisayarımıza yedekliyoruz.
Windows Server Tarafı = start => run => ntbackup => backlup => system state backup yapınız.
Öncelikle Fortinet Fortigate Firewallımızda aşağıdaki gibi adımlara ilerliyoruz.
User = Remote =Ldap=;Create New Diyerik aşağıdaki gibi tanım yapıyoruz.
{gallery}f1/fortigate-ad/0{/gallery}
Daha sonra query çekerek tanımımız düzgünmü değilmi görüyoruz.Ben eski sürümlerde bunu düzgün olarak çalıştıramamıştım.
{gallery}f1/fortigate-ad/1{/gallery}
User = > Directory Service => create new ile aşağıdaki ekranı alıyoruz
ad dc ip adresimiz 10.10.1.2 olduğunu düşünerek ip adresini yazıyoruz.Burdaki password tamamen bize kalmış cihaz ile active directorye yukleyeceğimiz yazılımın konuşması için eşitlenmiş olmalıdır.Ldap server kısmını seçerek yaptığımız tanımı burda çalıştırıyoruz.
{gallery}f1/fortigate-ad/2{/gallery}
Active directory serverımıza Fsae Collector Agent Yazılımı kurulmalıdır.Dikkat edilecek kısım Support NTLM seçilmemelidir.Diğer ayarları defaul bırakarak devam edebiliriz.Fortinet Fortigate Firewallımızda girdiğimiz şifrenin aynını burdada girmemiz gerekmektedir.Mutlaka active directory sunucumuzu bir kere restart edelim.Bu işlemleri yapmadan system state backup yapmış olmamız gerekmekte unutmayalım.İlgili Makale ftp://mail.f1bilgisayar.com adresinden temin edilebilir.
{gallery}f1/fortigate-ad/3{/gallery}
Domain ayar kısmımıza giriyoruz.Select domain to monitor kısmına tıklayarak aşağıdaki menuyu açıyoruz.
{gallery}f1/fortigate-ad/4{/gallery}
Aşağıdaki kısma gerekli ayarlarımızı girmemiz gerekiyor.
{gallery}f1/fortigate-ad/5{/gallery}
Bu kısımda ya administrator hesabımızı şifresi doğru şekilde giriyoruz veya kendimize administratos grubuna üye bir user açıp işlemi yapmamız gerekmekte.Şayet şirket politikanız gereğince şifre belirli sürede değişiyorsa lütfen bu userı zorlamadan muaf tutunuz.
{gallery}f1/fortigate-ad/7{/gallery}
Şimdi Fortigate cihazımız ile active directory sunucumuz düzgün görüşebiliyormu onu test ediyoruz
Serverımızda cmd ile dos prompta düşerek dsquery user komutu ile cn,dc bilgilerimizi alıyoruz.
{gallery}f1/fortigate-ad/8{/gallery}
Policylerimizde yazılınca aşağıdaki gibi bir ekran alıyoruz.Birazdan Policy kısmını göstereceğiz
{gallery}f1/fortigate-ad/9{/gallery}
Firewall Console ekranında diagnose debug authd fsae list diyerek firewalldaki active directory isimlerini görebiliyoruz.
{gallery}f1/fortigate-ad/10{/gallery}
Şimdi önce aşağıdaki gibi en sağdaki kısımdan kullanıcılarımızı işaretliyoruz daha sonra dc kısmındaki maviliğe tıklayarak açılır menuden userlarımızı gruplarımızı oularımızı görebiliyoruz.
{gallery}f1/fortigate-ad/11{/gallery}
Şimdi aşağıdaki ekrana göre gruplarımızı oluşturucaz bu gruplar tamamen Fortigate Tarafı içindir.Server ile ilgili bir kayıt içermez.Amaç burda serverdan çektiğimiz kullanıcıları yetkilendirmektir.
{gallery}f1/fortigate-ad/12{/gallery}
Şimdi Firewall policye gelerek aşağıdaki gibi bir kural yazıyoruz. Farkında iseniz admin ve user diye 2 adet active directory için yaptığımız tanım mevcut.Şayet burda kullanıcılar dışındakilerinde internete çıkmasını istiyorsa yeni bir grup daha yapar fsae guest hesabını buna dahil ederiz yoksa misafirlerin internet çıkışları için ip bazlı policy tanımlamak gerekecektir.
{gallery}f1/fortigate-ad/13{/gallery}
Aşağıdaki gibi bir policmiz oluyor .linux kamera vs gibi cihazlar için ip tabanlı kural yazmak gerekir bunu unutmayınız.
{gallery}f1/fortigate-ad/14{/gallery}
Column Settings kısmından authentication seçerseniz aşağıdaki gibi bir policymiz olduğunu göreceğiz.
{gallery}f1/fortigate-ad/15{/gallery}
Gördüğünüz gibi Savaş kullanıcısı 223 kb trafik yapmış ve bu trafiği kullanıcı bazında takip edebiliyorsunuz
{gallery}f1/fortigate-ad/16{/gallery}
Gördüğünüz üzere sağlıklı bir active directory yapınız varsa başarılı bir kurulum yaparsınız.Active directorynizde sıkıntı varsa düzeltmeden bu işlemlere başlamayınız.
Bu işin duayeni değiliz ama işimizi düzgün yapmaya çalışıyoruz.Makalede emeği geçen Kemal Akbalık kardeşime sonsuz teşekkürler.