เรื่อง: จะให้ User Group ใน AD เข้า Login เฉพาะ SSID นั้นๆ จะกำหนด policy ยังไงบ้างครับ
 
 2266

My Name: formaleenman ออฟไลน์
  • ดูรายละเอียด
04 ต.ค. 17, 13:44:57น.
ขออนุญาตสอบถามข้อมูลเบื้องต้นครับ
ถ้าต้องการให้ User Group ใน AD  เข้า Login เฉพาะ SSID นั้นๆ มีวิธีการกำหนด policy ยังไง หรือวิธีไหนได้บ้างครับ

รายละเอียดมีดังนี้ครับ

1.ได้สร้าง User Group ใน Fortigate 5.4 แล้วทำการ Map กับ Group policy ใน AD ผ่าน LDAP ไว้แล้ว
 -มี Group ชื่อ  G_Manager และ G_Staff 


2.ได้สร้าง Multi SSID ที่ตัว AP ไว้ 2 SSID
 -มี SSID ชื่อ Manager และ Staff

-SSID Manager : (vlan3 192.168.3.0/24)
-SSID Staff : (vlan4 192.168.4.0/24)


ต้องการให้ เมื่อ User ที่สังกัดในกลุ่มนั้นๆ  แต่ดันไป connect SSID ของกลุ่มอื่น  แล้วเมื่อนำ username,password มา login ใน SSID ของกลุ่มอื่น  จะต้อง login ไม่ได้

หรือก็คือ ให้สามารถ Login เฉพาะในสังกัดของตัวเองเท่านั้น
  - คือ กลุ่ม G_Staff ให้ login ได้เฉพาะ SSID Staff ไม่สามารถ Login ใน SSID Manager ได้

 -คือ  กลุ่ม G_Manager ให้ login ได้เฉพาะ SSID Manager ไม่สามารถ Login ใน SSID Staff ได้

ปัญหา คือ ตอนนี้ผม connect SSID Staff แต่ยัง login user ใน G_Manager ได้อยู่เลยครับ

จะมีวิธีการกำหนด policy ยังไง หรือวิธีไหนทำได้บ้างครับ

รูป Diagram


My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 05 ต.ค. 17, 10:51:38น.
ถ้าในเรื่องของการ Login
ต้องการให้ Login SSID ของกลุ่มนั้นๆ แต่ยังเกิดปัญหา Login ข้ามวง หรือ ข้าม SSID กันได้
แนะนำว่าควรจะจัดการที่ตัว Access Point ที่ตัว Aruba ดีกว่าครับ  ในเรื่องของการจัดการ Group ของการ Login SSID นั้นๆ

solution เพิ่มเติมก็คือ ควรที่จะมา Authen บน Aruba ในแบบ 802.1x แล้วให้ Aruba setting Authen 802.1x โดย setting Radius server ไปดึง User ที่ AD Server
ในตอนนั้นก็จะระบุได้ว่า SSID ไหน  Group ไหนบ้างที่จะ Login SSID นั้นๆ ได้

FortiGate เป็นแค่การทำ Routing จัดการออก Internet ครับ

My Name: formaleenman ออฟไลน์
  • ดูรายละเอียด