www.SAMURAJ-cz.com 

20.09.2021 Oleg Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Poslední články

FortiGate přihlášení do SSL VPN pomocí SAML SSO vůči Azure AD

FortiGate podporuje protokol SAML, který můžeme využít pro ověřování (autentizaci) uživatelů vůči vzdálenému serveru (podobně jako využíváme LDAP nebo RADIUS). Takto ověřené uživatele můžeme využít na různých místech. Zde se zaměříme na SSL VPN a jako Identity Provider (zdroj identity - externí ověřovací server) využijeme Microsoft Azure AD. Může jít o uživatele On-Premises AD DS domény, které synchronizujeme do Azure AD Tenantu (nebo čistě cloudové účty). Ověřování proti Azure AD nám dovoluje využít cloudovou bezpečnost. Například vícefaktorové ověření (Multi-Factor Authentication - MFA) a obecně Conditional Access.
27.08.2021 | 05.08.2021 | Samuraj - Petr Bouška | FortiGate admin | 565x | Komentáře [1]

Změna hesla nebo jména doménového účtu

Článek uvádí obecnější informace, jak ve firemním prostředí s Microsoft doménou změnit heslo doménového uživatele (který je aktivní s platným heslem). Detailně možnosti záleží na prostředí, a využívaných službách, dané společnosti. Neřešíme zde situace s exspirací hesla, kdy může vyskakovat dialog na změnu. Zato se podíváme na situace, kdy uživatel pracuje vzdáleně. Když změníme heslo doménového účtu, tak často musíme udělat několik dalších kroků, protože se různě používá staré heslo. Trochu podobná je situace, když se změní uživatelské jméno (například při změně příjmení).

FortiGate SSL VPN autentizace přes NPS (RADIUS) vůči Azure AD

V minulém článku jsme rozebírali možnost ověření uživatelů vůči Azure AD při přihlášení do SSL VPN. Využíval se protokol SAML a bylo možno požadovat vícefaktorové ověření (Multi-Factor Authentication - MFA). Nešlo ale zároveň použít ověření klientského certifikátu. Existuje další možnost, kdy se dá využít MFA v Azure AD, dokonce dohromady s certifikátem. Má ovšem řadu jiných omezení. Využívá se Microsoft Network Policy Server (NPS), protokol RADIUS a NPS rozšíření pro Azure MFA (NPS Extension for Azure MFA).

FortiGate Admin HTTPS přihlášení pomocí SAML SSO vůči Azure AD

FortiGate podporuje protokol SAML, který můžeme využít pro ověřování uživatelů. Jedno z míst, kde jej můžeme použít, je přihlašování administrátorů do webového rozhraní (GUI). A jeden ze zdrojů identity může být Microsoft Azure Active Directory (Azure AD). Ověřování vůči Azure AD nám dovoluje využít Conditional Access. Pomocí něj můžeme třeba nastavit vícefaktorové ověření (MFA). Nebo vyžadování spravovaného zařízení pro přístup.

FortiGate problémy s připojením do SSL VPN přes FortiClient

Podíváme se na starý známý problém, kdy se FortiClient připojování do SSL VPN na FortiGate zasekne či ukončí na 98 procentech. Tento problém měl být vyřešen ve FortiClient 5.6.0. Podle diskusí se však stále objevuje i v novějších verzích. Jsou různé rady na vyřešení, ale v našem prostředí nakonec pomohlo to, co jsem nikde zmiňovat neviděl. Vypnout DTLS a připojovat se klasicky pomocí TLS. Podíváme se také na debug SSL VPN na FortiGate.

FortiGate autentizace RADIUS, skupiny a MS NPS

Článek navazuje na předchozí popisy autentizace uživatelů a přidává ověřování proti externímu serveru typu RADIUS. I ten můžeme využít pro uživatele v Microsoft doméně (Active Directory Domain Services), třeba pro ověření do SSL VPN. Stručně se podíváme na konfiguraci Network Policy Server (NPS). Hlavně na způsob, jak přenášet údaj o zařazení uživatele do skupiny.

Hybrid Azure AD Join

Registrace počítačů a dalších zařízení (jako jsou mobilní telefony) do Azure AD nám může přinést různé výhody. Krátce zmíníme základní možnost Azure AD Device Registration. Dále se budeme věnovat Hybrid Azure AD Join. Kdy máme počítače připojené k On-Premises AD doméně, jejich účty synchronizujeme do Azure AD a počítače se zaregistrují do Azure AD. Mohou pak využívat výhody obou prostředí. V Azure AD funguje SSO a podmíněný přístup (Conditional Access).

Azure AD přihlašování bez hesla a vícefaktorové ověření (MFA)

Navážeme na minulý článek, který se věnoval samoobslužnému portálu na reset hesla nebo odemknutí účtu (SSPR). Podíváme se na to, co Microsoft označuje jako přihlašování bez hesla (Passwordless Sign-in). Zde za pomoci aplikace Microsoft Authenticator. Jako hlavní se budeme věnovat vícefaktorové autentizaci (Multi-Factor Authentication - MFA). Znovu si zmíníme ověřovací metody a podíváme se i na jejich správu v Azure AD.

Azure AD moderní ověřování, samoobslužný reset hesla (SSPR)

V článku se podíváme na možnosti Azure AD pro samoobslužnou změnu či reset hesla nebo odemknutí účtu (SSPR). Zaměříme se na situaci, kdy máme On-Premises Active Directory Domain Services (AD DS) uživatele synchronizované do cloudového Azure AD. Ne tak důležité je, že se využívá Password hash synchronization (PHS). Na začátku budeme řešit zpětný zápis hesla (Password Writeback), aby se změny hesel v cloudu projevily i v On-Premises. Zmíníme pojem moderní autentizace, politiky hesel a důležité jsou ověřovací metody (Authentication methods).

NetApp AFF8040 - konfigurace, principy a základní postupy

Článek stručně popisuje diskové pole NetApp All Flash FAS, jmenovitě model AFF8040. Rozebírá hlavní principy funkce (bez detailního popisu technologií), potřebné termíny a možnou konfiguraci. Dále popisuje běžné operace, jako je vytvoření disku (LUN/Volume) a jeho přiřazení serveru, navýšení velikost a odstranění.
06.05.2021 | 15.03.2017 | Samuraj - Petr Bouška | administrace | 6648x | Komentáře [0]

Nejčtenější článek

TCP/IP - adresy, masky, subnety a výpočty

Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
11.08.2008 | 05.09.2007 | Samuraj - Petr Bouška | sítě | 2277137x | Komentáře [82]

Poslední aktuality

Subnet kalkulačka

23.11.2008 | Samuraj | sítě | 38646x | Komentáře [2]

Poslední fotogalerie

Poslední komentáře

  1. Strong em link

    ☺ ???? ???? ????

  2. [6] Od Windows Server 2012 se Fine-grained Password Policy spravuje pomocí Active Directory Administration Center. Pod System - Password Settings Container.

    Ale pomocí ADSI by se tam mělo dát dostat také. A vyzkoušel jsem a ano, stále to funguje stejně.

  3. Diky za odpoved

    Pomoci adsi:

    "klikneme pravým tlačítkem a z kontextového menu zvolíme New - Object,vybereme msDS-PasswordSettings a Next" - tato volba chybi

    Pomoci ADUC:

    "přepneme se na záložku Attribute Editor

    najdeme hodnotu msDS-PSOAppliesTo a zvolíme Edit" taktez hodnota chybi.

    Nevadi chtel jsem jen overit ze zmena delky a minimalni platnost hesla nevynuti vsem uzivatelum zmenu.

    Dekuji

  4. [4] Nevím, kterou část nemůžete nalézt. Politiky hesel tam stále jsou :). Pouze nastavení požadavků nevynutí změnu hesla, jen ve chvíli nastavování hesla se podle ní kontroluje.

  5. Dobry den

    Vim ze je to na domenu 2008,alena domene 2016 nemohu toto nastaveni najit. Je nejaka zmena? Kdyz nastavim novou delku hesel vynuti domena zmenu hesla u vsech uzivatelu i tech co splnuji novou politiku?

    Dekuji za info.