www.SAMURAJ-cz.com 

03.08.2021 Miluše Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Poslední články

FortiGate Admin HTTPS přihlášení pomocí SAML SSO vůči Azure AD

FortiGate podporuje protokol SAML, který můžeme využít pro ověřování uživatelů. Jedno z míst, kde jej můžeme použít, je přihlašování administrátorů do webového rozhraní (GUI). A jeden ze zdrojů identity může být Microsoft Azure Active Directory (Azure AD). Ověřování vůči Azure AD nám dovoluje využít Conditional Access. Pomocí něj můžeme třeba nastavit vícefaktorové ověření (MFA). Nebo vyžadování spravovaného zařízení pro přístup.

FortiGate problémy s připojením do SSL VPN přes FortiClient

Podíváme se na starý známý problém, kdy se FortiClient připojování do SSL VPN na FortiGate zasekne či ukončí na 98 procentech. Tento problém měl být vyřešen ve FortiClient 5.6.0. Podle diskusí se však stále objevuje i v novějších verzích. Jsou různé rady na vyřešení, ale v našem prostředí nakonec pomohlo to, co jsem nikde zmiňovat neviděl. Vypnout DTLS a připojovat se klasicky pomocí TLS. Podíváme se také na debug SSL VPN na FortiGate.

FortiGate autentizace RADIUS, skupiny a MS NPS

Článek navazuje na předchozí popisy autentizace uživatelů a přidává ověřování proti externímu serveru typu RADIUS. I ten můžeme využít pro uživatele v Microsoft doméně (Active Directory Domain Services), třeba pro ověření do SSL VPN. Stručně se podíváme na konfiguraci Network Policy Server (NPS). Hlavně na způsob, jak přenášet údaj o zařazení uživatele do skupiny.

Hybrid Azure AD Join

Registrace počítačů a dalších zařízení (jako jsou mobilní telefony) do Azure AD nám může přinést různé výhody. Krátce zmíníme základní možnost Azure AD Device Registration. Dále se budeme věnovat Hybrid Azure AD Join. Kdy máme počítače připojené k On-Premises AD doméně, jejich účty synchronizujeme do Azure AD a počítače se zaregistrují do Azure AD. Mohou pak využívat výhody obou prostředí. V Azure AD funguje SSO a podmíněný přístup (Conditional Access).

Azure AD přihlašování bez hesla a vícefaktorové ověření (MFA)

Navážeme na minulý článek, který se věnoval samoobslužnému portálu na reset hesla nebo odemknutí účtu (SSPR). Podíváme se na to, co Microsoft označuje jako přihlašování bez hesla (Passwordless Sign-in). Zde za pomoci aplikace Microsoft Authenticator. Jako hlavní se budeme věnovat vícefaktorové autentizaci (Multi-Factor Authentication - MFA). Znovu si zmíníme ověřovací metody a podíváme se i na jejich správu v Azure AD.

Azure AD moderní ověřování, samoobslužný reset hesla (SSPR)

V článku se podíváme na možnosti Azure AD pro samoobslužnou změnu či reset hesla nebo odemknutí účtu (SSPR). Zaměříme se na situaci, kdy máme On-Premises Active Directory Domain Services (AD DS) uživatele synchronizované do cloudového Azure AD. Ne tak důležité je, že se využívá Password hash synchronization (PHS). Na začátku budeme řešit zpětný zápis hesla (Password Writeback), aby se změny hesel v cloudu projevily i v On-Premises. Zmíníme pojem moderní autentizace, politiky hesel a důležité jsou ověřovací metody (Authentication methods).

NetApp AFF8040 - konfigurace, principy a základní postupy

Článek stručně popisuje diskové pole NetApp All Flash FAS, jmenovitě model AFF8040. Rozebírá hlavní principy funkce (bez detailního popisu technologií), potřebné termíny a možnou konfiguraci. Dále popisuje běžné operace, jako je vytvoření disku (LUN/Volume) a jeho přiřazení serveru, navýšení velikost a odstranění.
06.05.2021 | 15.03.2017 | Samuraj - Petr Bouška | administrace | 6489x | Komentáře [0]

NetApp AFF8040 - upgrade

Stručně se podíváme, jak u diskového pole NetApp All Flash FAS (AFF), jmenovitě modelu AFF8040, provést upgrade systému ONTAP. Celý proces je jednoduchý, probíhá společně pro všechny komponenty a je bezvýpadkový (pokud máme správné redundantní síťové zapojení). Na závěr zmíníme samostatnou možnost upgradu firmware disků.
05.05.2021 | 16.03.2017 | Samuraj - Petr Bouška | administrace | 4037x | Komentáře [1]

FortiGate 6.2.3 bugy, debug a podpora

Článek postupně doplňuji a také různé věci testuji na novější verzích. Takže se netýká pouze FortiOS 6.2.3, ale obecně 6.2.x a 6.4.x. Před pár měsíci jsme nasadili FortiGate Firewally do provozu a od té doby stále řeším řadu problémů. Myslím, že řada z nich není způsobena mojí neznalostí či chybou konfigurace, ale chybou vlastního FortiOS. S jednou věcí jsem se dokonce obrátil na Fortinet Support a podělím se zde o moje špatné zkušenosti. Rozhodl jsem se sepsat problémy, na které si vzpomenu, a u toho největšího popsat kroky, které jsem prováděl pro zjištění příčiny problému.
02.05.2021 | 04.09.2020 | Samuraj - Petr Bouška | FortiGate admin | 7025x | Komentáře [26]

FortiGate High Availability cluster a Virtual Domains (VDOM)

Firewall na perimetru sítě je náš centrální bod pro přístup do internetu a dalších sítí. Určitě nechceme, aby šlo o Single Point of Failure, takže potřebujeme řešit redundanci a nejlépe rovnou cluster, který zajistí vysokou dostupnost (High Availability). Cluster nám řeší jednotnou konfiguraci a přepínání jednotek v případě výpadku (nejen zařízení, ale třeba i linky). Když jsme pořídili dvě zařízení, tak je můžeme chtít co nejlépe využít. Pro některé situace se mohou hodit virtuální domény (VDOM). Ty nám dovolí rozdělit FortiGate na několik částí, které pracují samostatně. Tedy vytvořit z jednoho zařízení (nebo clusteru) několik virtuálních firewallů.
01.05.2021 | 05.03.2020 | Samuraj - Petr Bouška | FortiGate admin | 4444x | Komentáře [2]

Nejčtenější článek

TCP/IP - adresy, masky, subnety a výpočty

Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
11.08.2008 | 05.09.2007 | Samuraj - Petr Bouška | sítě | 2275063x | Komentáře [82]

Poslední aktuality

Subnet kalkulačka

23.11.2008 | Samuraj | sítě | 38564x | Komentáře [2]

Poslední fotogalerie

Poslední komentáře

  1. V tomto článku je asi dost důležitá informace kb.fortinet.com/kb/documentLink.do?externalID=FD33338 (pokud publikujeme servery (VIP) a chceme udělat nějaké globální DENY).

  2. Opet paradni clanek ! Dekujeme :)

  3. [1]

    Ahoj, tak co třeba Forticlineta na koncové stanici zapojeneého přes EMS server (nastavit si profil a politiky/pravidla) a propojen s Fortigate a přes policy omezit přístupy do jiných segmentů sítě. Lze i dynamickými tagy.

  4. Ahoj, odkazy na MIB jsou detus. Nebo chtějí podporu, MIB jsou až 10 let staré. Nemáte někdo aktuální zdroje?

  5. [34]Zabbix