เรื่อง: สอบถามการใช้งาน Single Sign-On to Windows AD ครับ
 
 206

My Name: wokahingline ออฟไลน์
  • ดูรายละเอียด
03 ก.ย. 19, 09:23:43น.
หากเราจะเก็บ Log พรบ คอม นั้น การใช่งาน Single Sign-On to Windows AD

ทำได้ยากรึป่าวครับ เบื้องต้นแล้วอ่านใน https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/573568/installing-the-fsso-agent แล้วไม่เข้าใจครับ

ตอนนี่ ที่ บริษัทมี AD 1 เครื่อง เพื่อให้เครื่องลูกๆ Join Domain เข้ามาและ Login เข้า Windows ทุกครัง

แต่ปัญหาในการเก็บ Log นั้น ไม่ได้มีการระบุ User นั้นๆเลยว่า เวลานี้ใครได้ ip อะไรไป ทำอะไร ไปที่ไหน

คือเบื้องต้นเข้าใจว่า พอเวลา Login เข้า windows ก็จะรู้ได้เลยว่า User ไหน โดยที่เราไม่ต้องทำ Captive Portal

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 03 ก.ย. 19, 15:15:03น.
ถ้าการทำ Auth กับ FortiGate แบบ Single Sign-On โดยดึง Users จาก Windows AD นั้น
จำเป็นจะต้องติดตั้ง  Agent บน Windows AD
จะเป็นการ Auth โดยการ Join Domain เข้าสู่ Domain (Login เข้าสู่ Computer สิทธิ์จาก AD)
แล้วตัว Agent จะไป Query Log การ Auth  จากนั้นตัว Agent จะไปเชื่อมต่อกับ FortiGate ว่า User นี้ ที่อยู่ Group นี้ เข้ามาแล้ว
ให้ไปอยู่ใน Group ที่ต้องการ  แล้ว Group นั้น จะไปอยู่ที่ Policy ที่ต้องการ


Policy นั้นก็จะต้อง on  Log Allowed Traffic ไว้ด้วยเพื่อที่ต้องการ การเก็บ Log

ลองดูลิ้งค์ด้านล่าง และ VDO ใน Youtube ประกอบการ Config ครับ
http://azuredummies.com/2016/01/26/fortigate-single-sign-on-sso-agent-mode-with-active-directory-integration/

Firewall : Fortinet - Single Sign On FSSO
https://www.youtube.com/watch?v=fZkH9vD_7OI

Integration FortiGate with FSSO Windows Active Directory (AD)
https://www.youtube.com/watch?v=qUxmmf-BuJY

FSSO Authentication with DC Agent Mode (v5.4.4)
https://www.youtube.com/watch?v=0mq2GSwAOL8

5 Downloading and Installing the DC Agent and Collector Agent for FSSO
https://www.youtube.com/watch?v=7ddr5K0IL9M