Poslední články
FortiGate identifikace uživatelů pomocí FSSO - Fortinet Single Sign-On
Na FortiGate můžeme využít techniku Fortinet Single Sign-On (FSSO), kterou Fortinet označuje jako autentizační protokol pro transparentní ověření uživatelů. Díky ní přiřazuje k IP adrese jméno uživatele, který se z ní přihlásil. V komunikaci, kde se používá zdrojová IP adresa, tak můžeme místo IP adres využít uživatele a skupiny. FSSO má řadu různých možností a využití. Zde se ale zaměříme na napojení na Active Directory doménu a využití pouze pro identifikaci uživatelů v lozích.
FortiGate přihlášení do SSL VPN pomocí SAML SSO vůči Azure AD
FortiGate podporuje protokol SAML, který můžeme využít pro ověřování (autentizaci) uživatelů vůči vzdálenému serveru (podobně jako využíváme LDAP nebo RADIUS). Takto ověřené uživatele můžeme využít na různých místech. Zde se zaměříme na SSL VPN a jako Identity Provider (zdroj identity - externí ověřovací server) využijeme Microsoft Azure AD. Může jít o uživatele On-Premises AD DS domény, které synchronizujeme do Azure AD Tenantu (nebo čistě cloudové účty). Ověřování proti Azure AD nám dovoluje využít cloudovou bezpečnost. Například vícefaktorové ověření (Multi-Factor Authentication - MFA) a obecně Conditional Access.
Změna hesla nebo jména doménového účtu
Článek uvádí obecnější informace, jak ve firemním prostředí s Microsoft doménou změnit heslo doménového uživatele (který je aktivní s platným heslem). Detailně možnosti záleží na prostředí, a využívaných službách, dané společnosti. Neřešíme zde situace s exspirací hesla, kdy může vyskakovat dialog na změnu. Zato se podíváme na situace, kdy uživatel pracuje vzdáleně. Když změníme heslo doménového účtu, tak často musíme udělat několik dalších kroků, protože se různě používá staré heslo. Trochu podobná je situace, když se změní uživatelské jméno (například při změně příjmení).
FortiGate SSL VPN autentizace přes NPS (RADIUS) vůči Azure AD
V minulém článku jsme rozebírali možnost ověření uživatelů vůči Azure AD při přihlášení do SSL VPN. Využíval se protokol SAML a bylo možno požadovat vícefaktorové ověření (Multi-Factor Authentication - MFA). Nešlo ale zároveň použít ověření klientského certifikátu. Existuje další možnost, kdy se dá využít MFA v Azure AD, dokonce dohromady s certifikátem. Má ovšem řadu jiných omezení. Využívá se Microsoft Network Policy Server (NPS), protokol RADIUS a NPS rozšíření pro Azure MFA (NPS Extension for Azure MFA).
FortiGate Admin HTTPS přihlášení pomocí SAML SSO vůči Azure AD
FortiGate podporuje protokol SAML, který můžeme využít pro ověřování uživatelů. Jedno z míst, kde jej můžeme použít, je přihlašování administrátorů do webového rozhraní (GUI). A jeden ze zdrojů identity může být Microsoft Azure Active Directory (Azure AD). Ověřování vůči Azure AD nám dovoluje využít Conditional Access. Pomocí něj můžeme třeba nastavit vícefaktorové ověření (MFA). Nebo vyžadování spravovaného zařízení pro přístup.
FortiGate problémy s připojením do SSL VPN přes FortiClient
Podíváme se na starý známý problém, kdy se FortiClient připojování do SSL VPN na FortiGate zasekne či ukončí na 98 procentech. Tento problém měl být vyřešen ve FortiClient 5.6.0. Podle diskusí se však stále objevuje i v novějších verzích. Jsou různé rady na vyřešení, ale v našem prostředí nakonec pomohlo to, co jsem nikde zmiňovat neviděl. Vypnout DTLS a připojovat se klasicky pomocí TLS. Podíváme se také na debug SSL VPN na FortiGate.
FortiGate autentizace RADIUS, skupiny a MS NPS
Článek navazuje na předchozí popisy autentizace uživatelů a přidává ověřování proti externímu serveru typu RADIUS. I ten můžeme využít pro uživatele v Microsoft doméně (Active Directory Domain Services), třeba pro ověření do SSL VPN. Stručně se podíváme na konfiguraci Network Policy Server (NPS). Hlavně na způsob, jak přenášet údaj o zařazení uživatele do skupiny.
Hybrid Azure AD Join
Registrace počítačů a dalších zařízení (jako jsou mobilní telefony) do Azure AD nám může přinést různé výhody. Krátce zmíníme základní možnost Azure AD Device Registration. Dále se budeme věnovat Hybrid Azure AD Join. Kdy máme počítače připojené k On-Premises AD doméně, jejich účty synchronizujeme do Azure AD a počítače se zaregistrují do Azure AD. Mohou pak využívat výhody obou prostředí. V Azure AD funguje SSO a podmíněný přístup (Conditional Access).
Azure AD přihlašování bez hesla a vícefaktorové ověření (MFA)
Navážeme na minulý článek, který se věnoval samoobslužnému portálu na reset hesla nebo odemknutí účtu (SSPR). Podíváme se na to, co Microsoft označuje jako přihlašování bez hesla (Passwordless Sign-in). Zde za pomoci aplikace Microsoft Authenticator. Jako hlavní se budeme věnovat vícefaktorové autentizaci (Multi-Factor Authentication - MFA). Znovu si zmíníme ověřovací metody a podíváme se i na jejich správu v Azure AD.
Azure AD moderní ověřování, samoobslužný reset hesla (SSPR)
V článku se podíváme na možnosti Azure AD pro samoobslužnou změnu či reset hesla nebo odemknutí účtu (SSPR). Zaměříme se na situaci, kdy máme On-Premises Active Directory Domain Services (AD DS) uživatele synchronizované do cloudového Azure AD. Ne tak důležité je, že se využívá Password hash synchronization (PHS). Na začátku budeme řešit zpětný zápis hesla (Password Writeback), aby se změny hesel v cloudu projevily i v On-Premises. Zmíníme pojem moderní autentizace, politiky hesel a důležité jsou ověřovací metody (Authentication methods).
Nejčtenější článek
TCP/IP - adresy, masky, subnety a výpočty
Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
Poslední aktuality
Poslední fotogalerie
Instalace CUCM 8.6 Publisher
fotky z období: 12/2014
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
Fotočlánek, který dokumentuje čistou instalaci Cisco Unified Communications Manager (CUCM) serveru ve verzi 8.6.2.20000-2 jako Publisher.
Poslední komentáře
Statistiky
Stránky si zobrazilo 8,447,337 návštěvníků. Během dneška 192.
Právě tu je 28 hostů a 0 přihlášených uživatelů.
Jak je to s temi verzemi a licencemi je popsane zde
https://kb.fortinet.com/kb/documentLink.do?externalID=FD48147
Skúsil som to na FortiGate 61E - 6.4.6 + FortiClient 6.4.1 a funguje to až prekvapivo dobre. Ďakujem za super článok
Mám otázku: dajú sa vo firewalle aplikovať pravidla podľa užívateľov?
Teraz môžem pracovať len so skupinami
Zdravím,
podařilo se Vám rozchodit DC-Agent FSSO zasílání logon eventu přes SSL/TLS? Fortigate vs. Collector-Agent funguje bez problémů přes SSL/TLS, ale zasílání logon eventů nikoliv. Dané DC není vůbec vidět v "Show Monitored DCs". Jakmile se vypne na DC-Agentovi SSL/TLS tak logony začnou chodit. Ptám se ještě předtím než otevřu case s Fortinetem, protože to je vždy až ta poslední možnost
.
Díky
Cromac
Doporučuji vyzkoušet nedi.ch
Zajímavý nástroj - udělá topologi, zobrazí switche a info o jejich portech, dohledá ale i nody s IP a MAC takže lze dohledat i zpětně, kde bylo jaké zařízení připojené k síti.
ja chci domu a to uz tady jsem- Karel