Fortinetthai.com
Fortinet Products => Fortigate => ข้อความที่เริ่มโดย: wokahingline ที่ 03 ก.ย. 19, 09:23:43น.
-
หากเราจะเก็บ Log พรบ คอม นั้น การใช่งาน Single Sign-On to Windows AD
ทำได้ยากรึป่าวครับ เบื้องต้นแล้วอ่านใน https://docs.fortinet.com/document/fortigate/6.0.0/cookbook/573568/installing-the-fsso-agent แล้วไม่เข้าใจครับ
ตอนนี่ ที่ บริษัทมี AD 1 เครื่อง เพื่อให้เครื่องลูกๆ Join Domain เข้ามาและ Login เข้า Windows ทุกครัง
แต่ปัญหาในการเก็บ Log นั้น ไม่ได้มีการระบุ User นั้นๆเลยว่า เวลานี้ใครได้ ip อะไรไป ทำอะไร ไปที่ไหน
คือเบื้องต้นเข้าใจว่า พอเวลา Login เข้า windows ก็จะรู้ได้เลยว่า User ไหน โดยที่เราไม่ต้องทำ Captive Portal
-
ถ้าการทำ Auth กับ FortiGate แบบ Single Sign-On โดยดึง Users จาก Windows AD นั้น
จำเป็นจะต้องติดตั้ง Agent บน Windows AD
จะเป็นการ Auth โดยการ Join Domain เข้าสู่ Domain (Login เข้าสู่ Computer สิทธิ์จาก AD)
แล้วตัว Agent จะไป Query Log การ Auth จากนั้นตัว Agent จะไปเชื่อมต่อกับ FortiGate ว่า User นี้ ที่อยู่ Group นี้ เข้ามาแล้ว
ให้ไปอยู่ใน Group ที่ต้องการ แล้ว Group นั้น จะไปอยู่ที่ Policy ที่ต้องการ
Policy นั้นก็จะต้อง on Log Allowed Traffic ไว้ด้วยเพื่อที่ต้องการ การเก็บ Log
ลองดูลิ้งค์ด้านล่าง และ VDO ใน Youtube ประกอบการ Config ครับ
http://azuredummies.com/2016/01/26/fortigate-single-sign-on-sso-agent-mode-with-active-directory-integration/
Firewall : Fortinet - Single Sign On FSSO
https://www.youtube.com/watch?v=fZkH9vD_7OI
Integration FortiGate with FSSO Windows Active Directory (AD)
https://www.youtube.com/watch?v=qUxmmf-BuJY
FSSO Authentication with DC Agent Mode (v5.4.4)
https://www.youtube.com/watch?v=0mq2GSwAOL8
5 Downloading and Installing the DC Agent and Collector Agent for FSSO
https://www.youtube.com/watch?v=7ddr5K0IL9M
(https://slideplayer.com/slide/5266882/17/images/5/Fortinet+Single+Sign+On.jpg)
(https://help.fortinet.com/cb/html/FOS_Cookbook/Authentication/images/FSSO-IBP.111.1.1.png)
(https://help.fortinet.com/cb/html/FOS_Cookbook/Authentication/images/fsso-agent-config1.png)