andreamonguzzi.it
Microsoft Windows Server, Exchange Server, Accesso ai dati e tecnologia di ogni tipo :)
  • Home
  • Chi sono
  • Collaborazioni
  • Contatti
  • Richiedi un articolo
Home  /  Informatica  /  Active Directory: Configurare l’accesso utente single sign-on con un firewall FortiGate
Informatica
2 gennaio 2013

Active Directory: Configurare l’accesso utente single sign-on con un firewall FortiGate

Andrea Monguzzi Accesso Internet, Active Directory, Andrea Monguzzi, Firewall, FortiGate, Single Sign-On 1 Comment

In questo articolo parlo di come integrare un firewall FortiNet (un FortiGate 40C, nello specifico) in un ambiente Active Directory per consentire agli utenti l’accesso alle risorse internet tramite single sign-on (SSO).
Il laboratorio utilizzato è composto da due macchine virtuali:

  • DC1-W08 – Server di dominio con Windows Server 2008 Standard;
  • CL1-W8 – Client Windows 8 Professional;

Il primo passaggio è chiaramente quello di collegare il firewall alla mia rete e configurarne gli indirizzi per poterlo raggiungere e navigare tramite esso. Nel caso dell’esempio ho assegnato al dispositivo l’indirizzo 192.168.0.1/24 mentre il server e il client hanno rispettivamente l’IP 192.168.0.20/24 e 192.168.0.50/24.
Sul DC ho creato alcuni utenti (prendendo i nomi dai personaggi di The Walking Dead, quindi la Fox mi farà chiudere i battenti a breve A bocca aperta) e due gruppi di protezione per discriminare l’accesso ad internet degli utenti.

SNAGHTML1ad845

Voglio consentire l’accesso ad internet a Rick e ai suoi, inserendoli nel gruppo Internet-SI, mentre non voglio lasciar accedere ad internet Andrea, Michonne e Merle.
Dale, Lori, Shane e T-Dog sono account disabilitati, avendo questi perso la vita durante la serie TV. A bocca aperta

Sempre sul Domain Controller installo il FSSO Collector Agent, e ad installazione conclusa inizio la configurazione eseguendo dal menù dal menù Start > Fortinet > FortiNet Single Sign On Agent > Configure Fortinet Single Sign On Agent.
Per prima cosa imposto una password per la comunicazione con il dispositivo (ad esempio fortiTWD).

image

Ora dai Common Task seleziono Set Group Filters. Dalla lista che compare seleziono Add… e quindi Advanced… dalla nuova finestra.

SNAGHTML27871a

Dalla maschera di selezione scelgo i gruppi Internet-NO e Internet-SI e quindi Add.

image

Mi assicuro che nella filter list sia comparso il nuovo filtro appena impostato e se presente confermo cliccando su OK.

image

Con un Save&Close chiudo quindi la configurazione dell’agente FSSO.

image

Il passaggio successivo consiste nel mettere in comunicazione il FortiGate con l’agente installato. Dal Domain Controller apro quindi un browser ed accedo alla pagina di amministrazione del dispositivo all’URL http://192.168.0.1.
Mi posiziono quindi alla voce User > Single Sign-On > FSSO Agent e clicco su Create New

SNAGHTML3a006e

Imposto un nome per l’agente e inserisco l’IP del server e la password impostata in precedenza (fortiTWD). Il firewall di Windows Server dovrà consentire la connessione tramite la porta 8000 TCP affinchè la comunicazione avvenga correttamente.

SNAGHTML41b4ce

Cliccando su OK posso vedere che la connessione con l’agente è stata creata con successo.

SNAGHTML43626b

Ora, dalla CLI console presente sulla dashboard del dispositivo eseguo il comando

execute fsso refresh

che forza un aggiornamento dei dati tra il dispositivo e l’agente installato sul DC.

SNAGHTML4643e3

Adesso, dal menù User > User Group > User Group clicco su Create New e avvio la creazione di un gruppo chiamato AD_Internet_NO, selezionando come type Fortinet Single Sign-On (FSSO) e inserendo come membro il gruppo AD Internet-NO.

SNAGHTML48f779

Seguo la stessa procedura e creo il gruppo AD_Internet_SI associando il gruppo di Active Directory Internet-SI. A procedura conclusa mi ritrovo i due gruppi presenti nell’interfaccia di amministrazione del FortiGate.

SNAGHTML4d47f9

Ora creo un profilo UTM per il Web Filtering. Tramite questo profilo possi discriminare la tipologia di accesso consentita agli utenti con diversi criteri.
Accedo al menù UTM Profiles > Web Filter > Profile e creo un nuovo profilo con il pulsante in alto a destra.

SNAGHTML772a8b

Assegno al profilo il nome Blocco Totale, abilito la spunta su FortiGuard Categories e le seleziono tutte. Sulla tendina sottostante seleziono la voce Block.

SNAGHTML793d02

Salvo dunque il profilo e vado avanti con la configurazione del dispositivo.
A questo punto posso procedere con la creazione delle policy che consentano la navigazione degli utenti autorizzati. Dall’interfaccia FortiGate mi posiziono sul menù Policy > Policy Policy e clicco su Create New.
Procedo con la configurazione come da immagine:

SNAGHTML51dcc8

Cliccando su Add, come al punto 6, accedo alla configurazione della regola di autenticazione.
Sul gruppo AD_Internet_SI non attiverò nessun tipo di blocco, mentre sul gruppo AD_Internet_NO attiverò l’UTM con la funzione Web Filter attiva e con il profilo Blocco Totale selezionato.

SNAGHTML541362

SNAGHTML72d97f

Confermo ed elimino (o disabilito) la policy predefinita che consente l’accesso in uscita a tutti.

SNAGHTML705810

La configurazione di base è conclusa. Non resta che provare ad accedere al client Windows 8  vedere cosa succede in base all’accesso. Effettuo un primo accesso con l’utente Rick.

image

Eseguito l’accesso provo ad aprire Internet Explorer

image

La navigazione avviene correttamente, come mostra l’immagine:

SNAGHTML61f863

Ora provo a disconnettermi e accedere con l’utente Merle, che non fa parte del gruppo AD autorizzato alla navigazione.

image

Ecco il risultato ottenuto:

SNAGHTML1b4eeabb

La navigazione per l’utente Merle è quindi disabilitata.

Provo ora ad abilitare l’utente Shane da ADUC, così da consentire il login dalla macchina client. L’utente non rientra in nessuno dei due gruppi Internet-SI o Internet-NO. Voglio vedere il comportamento del browser tentando di accedere a Google…

image

Ecco qua. L’autenticazione SSO non ha avuto buon esito, non essendo l’utente in un gruppo di quelli monitorati. Vengono quindi richieste delle credenziali di accesso. Inserendo, ad esempio, quelle di Rick la navigazione viene quindi consentita.

  

Previous Article Windows Server 2012: Servizio DHCP server in alta disponibilità
Next Article Office 365: Impostare un modello di Office per la creazione di nuovi documenti su SharePoint online

About Author

Andrea Monguzzi
Andrea Monguzzi

Sistemista da un ventennio, appassionato di informatica dalla nascita. Aiuto aziende e professionisti a cogliere i benefici e a districarsi dalle insidie dell'era digitale consigliando quale tecnologia adottare in base al tipo di esigenza specifica. Tendenzialmente pigro, caratteristica distintiva del vero nerd, da anni mi adopero affinché le macchine facciano quello che non voglio fare io. Posso quindi aiutarti a fare in modo che sia l'informatica a lavorare per te e non il contrario. :)

Related Posts

  • La vera storia di Marcello, del multifunzione e del rastrello rubato

    La vera storia di Marcello, del multifunzione e del rastrello rubato

  • Office 365: Le cartelle di OWA restano in lingua inglese

    Office 365: Le cartelle di OWA restano in lingua inglese

1 Comment

  1. rmarchi Reply
    20 giugno 2014 at 17:53

    Ottima guida!
    Integro segnalando che con os 5.x sul fgt40c la voce User > Single Sign-On > FSSO Agent non esite più. l’ fsso va abilitato via CLI.
    Poi, più o meno è simile

Leave a Reply

Annulla risposta


  
marzo 2023
L M M G V S D
« Mar    
 12345
6789101112
13141516171819
20212223242526
2728293031  

Gli ultimi commenti…

  • Arturo su Windows XP: Impossibile avviare una connessione RDP
  • Mauro su La vera storia di Marcello, del multifunzione e del rastrello rubato
  • Mauro su SBS 2003: backup falliti per errore imprevisto 80090016 (Keyset non esistente)
  • Luca Martinetti su Windows Server 2008: Installazione remota tramite DRAC
  • Francesco su Windows Server 2012: Installare e configurare il ruolo RDS
  • Giovanni su Windows Server 2012: Installare e configurare il ruolo RDS
  • Luca Ferrari su Informatica? Come fermare l’eterna lotta tra cliente e fornitore.
  • Luca Ferrari su La vera storia di Marcello, del multifunzione e del rastrello rubato
Cookie Policy - Privacy Policy - 2015|Lake Web