Fortinetthai.com

Fortinet Products => Fortigate => ข้อความที่เริ่มโดย: ae1983 ที่ 08 ส.ค. 18, 16:40:04น.

หัวข้อ: สอบถาม Authen AD
เริ่มหัวข้อโดย: ae1983 ที่ 08 ส.ค. 18, 16:40:04น.
https://cookbook.fortinet.com/providing-single-sign-using-ldap-fsso-agent-advanced-mode-expert/
ผมได้ทำตามลิ้งนี้ คือเวลาที่ client จะเข้าเวป มันไม่มี captive portal ขึ้นมาให้ใส่รหัสของ ad อ่าครับ
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: ae1983 ที่ 08 ส.ค. 18, 16:57:13น.
ใน FSSO Agent บน AD ก็มี Log ขึ้นมานะครับ
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: earth ที่ 08 ส.ค. 18, 22:51:02น.
ถ้าแบบใช้ Single sign on แบบใช้ Agent นั้น
จะเป็นการ Auth โดยการ Join Domain เข้าสู่ Domain (Login เข้าสู่ Computer สิทธิ์จาก AD)
แล้วตัว Agent จะไป Query Log การ Auth  จากนั้นตัว Agent จะไปเชื่อมต่อกับ FortiGate ว่า User นี้ ที่อยู่ Group นี้ เข้ามาแล้ว
ให้ไปอยู่ใน Group ที่ต้องการ  แล้ว Group นั้น จะไปอยู่ที่ Policy ที่ต้องการ

(https://slideplayer.com/slide/5266882/17/images/5/Fortinet+Single+Sign+On.jpg)

(https://cookbook.fortinet.com/wp-content/uploads/FortiGate/sso-advanced/auth-sso-fauth-net.png)

ถ้าต้องการให้ Users Login เข้าสู่ Internet โดยต้องการหน้า captive portal ขึ้นมา จะต้องใช้การ Setting แบบ LDAP Server บน FortiGate ครับ   ตามลิ้งค์ด้านล่างนี้

Technical Tip : How to configure LDAP server and restrict access to certain groups in FortiOS 4.0MR2 and above
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD32359


Technical Note: LDAP configuration examples
http://kb.fortinet.com/kb/viewContent.do?externalId=FD37516

FortiGate LDAP Server configuration examples
http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=10963

FortiGate LDAP Server Configuration for Active Directory
https://doitfixit.com/blog/2014/02/11/fortigate-ldap-server-configuration-for-active-directory/

LDAP Authentication on Fortigate
https://itsecworks.com/2012/06/19/ldap-authentication-on-fortigate/

HOW TO CONFIGURE ACTIVE DIRECTORY USERS IN FORTIGATE
https://www.bauer-power.net/2012/11/how-to-configure-active-directory-users.html

Fortigate | FortiOS | 5.6.3 | LDAP Integration
https://www.youtube.com/watch?v=PQpt2tDL8rM

http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-authentication/UserGroups.htm?Highlight=ldap%20server

http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-authentication/Servers.htm?Highlight=ldap%20server#LDAP_servers

(http://www.fortijason.net/docs/ad-admin-config/ldap-server-definition.jpg)
(http://www.fortijason.net/docs/ad-admin-config/user-group-definition.jpg)

(http://irobust.co.th/blog/wp-content/uploads/2016/03/ldap_properties.jpg)
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: ae1983 ที่ 13 ส.ค. 18, 18:12:21น.
พี่ครับ SSO แบบ Agent นี่ผมทำขั้นตอน Add Policy แล้วพอ Add Source User เข้าไปนี่ออกเนตไม่ได้เลยครับ
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: ae1983 ที่ 13 ส.ค. 18, 19:09:33น.
หัวข้อนี้ก็ไม่มี drop down
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: ae1983 ที่ 14 ส.ค. 18, 10:18:11น.
อ่อ ได้แล้วครับผม ผมใส่ password ที่ agent ที่ install บน ad ไม่ถูกครับ
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: earth ที่ 14 ส.ค. 18, 10:20:17น.
อ่อ ได้แล้วครับผม ผมใส่ password ที่ agent ที่ install บน ad ไม่ถูกครับ

อ่อ OK ครับ
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: earth ที่ 14 ส.ค. 18, 10:20:30น.
ตกลงให้ Authen แบบ Single Sign on หรือ captive portal (Login ผ่านหน้าเว็บ) ครับ
ที่บอกไว้ตั้งแต่ต้น
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: ae1983 ที่ 14 ส.ค. 18, 11:00:50น.
กะทำ 2 แบบครับ ไม่ทราบว่าได้ไหม LAN จะให้เป็น agent ส่วน wifi จะให้เป็น captive ครับ คนละ vlan กัน แต่มันดันอยู่ zone เดียวกันอ่าครับ
หัวข้อ: Re: สอบถาม Authen AD
เริ่มหัวข้อโดย: ToR ที่ 14 ส.ค. 18, 15:56:37น.
ทำได้ครับ ขึ้นอยู่กับการจัดกลุ่ม Source Address ใน Policy