เรื่อง: สอบถาม Authen AD
 
 2992

My Name: ae1983 ออฟไลน์
  • ดูรายละเอียด
08 ส.ค. 18, 16:40:04น.
https://cookbook.fortinet.com/providing-single-sign-using-ldap-fsso-agent-advanced-mode-expert/
ผมได้ทำตามลิ้งนี้ คือเวลาที่ client จะเข้าเวป มันไม่มี captive portal ขึ้นมาให้ใส่รหัสของ ad อ่าครับ
แก้ไขครั้งสุดท้าย: 08 ส.ค. 18, 16:48:13น. โดย ae1983

My Name: ae1983 ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 08 ส.ค. 18, 16:57:13น.
ใน FSSO Agent บน AD ก็มี Log ขึ้นมานะครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #2 08 ส.ค. 18, 22:51:02น.
ถ้าแบบใช้ Single sign on แบบใช้ Agent นั้น
จะเป็นการ Auth โดยการ Join Domain เข้าสู่ Domain (Login เข้าสู่ Computer สิทธิ์จาก AD)
แล้วตัว Agent จะไป Query Log การ Auth  จากนั้นตัว Agent จะไปเชื่อมต่อกับ FortiGate ว่า User นี้ ที่อยู่ Group นี้ เข้ามาแล้ว
ให้ไปอยู่ใน Group ที่ต้องการ  แล้ว Group นั้น จะไปอยู่ที่ Policy ที่ต้องการ





ถ้าต้องการให้ Users Login เข้าสู่ Internet โดยต้องการหน้า captive portal ขึ้นมา จะต้องใช้การ Setting แบบ LDAP Server บน FortiGate ครับ   ตามลิ้งค์ด้านล่างนี้

Technical Tip : How to configure LDAP server and restrict access to certain groups in FortiOS 4.0MR2 and above
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD32359


Technical Note: LDAP configuration examples
http://kb.fortinet.com/kb/viewContent.do?externalId=FD37516

FortiGate LDAP Server configuration examples
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10963

FortiGate LDAP Server Configuration for Active Directory
https://doitfixit.com/blog/2014/02/11/fortigate-ldap-server-configuration-for-active-directory/

LDAP Authentication on Fortigate
https://itsecworks.com/2012/06/19/ldap-authentication-on-fortigate/

HOW TO CONFIGURE ACTIVE DIRECTORY USERS IN FORTIGATE
https://www.bauer-power.net/2012/11/how-to-configure-active-directory-users.html

Fortigate | FortiOS | 5.6.3 | LDAP Integration
https://www.youtube.com/watch?v=PQpt2tDL8rM

http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-authentication/UserGroups.htm?Highlight=ldap%20server

http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-authentication/Servers.htm?Highlight=ldap%20server#LDAP_servers





แก้ไขครั้งสุดท้าย: 08 ส.ค. 18, 23:12:59น. โดย earth

My Name: ae1983 ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #3 13 ส.ค. 18, 18:12:21น.
พี่ครับ SSO แบบ Agent นี่ผมทำขั้นตอน Add Policy แล้วพอ Add Source User เข้าไปนี่ออกเนตไม่ได้เลยครับ

My Name: ae1983 ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #4 13 ส.ค. 18, 19:09:33น.
หัวข้อนี้ก็ไม่มี drop down

My Name: ae1983 ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #5 14 ส.ค. 18, 10:18:11น.
อ่อ ได้แล้วครับผม ผมใส่ password ที่ agent ที่ install บน ad ไม่ถูกครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #6 14 ส.ค. 18, 10:20:17น.
อ่อ ได้แล้วครับผม ผมใส่ password ที่ agent ที่ install บน ad ไม่ถูกครับ

อ่อ OK ครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #7 14 ส.ค. 18, 10:20:30น.
ตกลงให้ Authen แบบ Single Sign on หรือ captive portal (Login ผ่านหน้าเว็บ) ครับ
ที่บอกไว้ตั้งแต่ต้น

My Name: ae1983 ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #8 14 ส.ค. 18, 11:00:50น.
กะทำ 2 แบบครับ ไม่ทราบว่าได้ไหม LAN จะให้เป็น agent ส่วน wifi จะให้เป็น captive ครับ คนละ vlan กัน แต่มันดันอยู่ zone เดียวกันอ่าครับ
แก้ไขครั้งสุดท้าย: 14 ส.ค. 18, 11:23:39น. โดย ae1983

My Name: ToR ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #9 14 ส.ค. 18, 15:56:37น.
ทำได้ครับ ขึ้นอยู่กับการจัดกลุ่ม Source Address ใน Policy