www.SAMURAJ-cz.com 

24.10.2021 Nina Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Poslední články

FortiGate identifikace uživatelů pomocí FSSO - Fortinet Single Sign-On

Na FortiGate můžeme využít techniku Fortinet Single Sign-On (FSSO), kterou Fortinet označuje jako autentizační protokol pro transparentní ověření uživatelů. Díky ní přiřazuje k IP adrese jméno uživatele, který se z ní přihlásil. V komunikaci, kde se používá zdrojová IP adresa, tak můžeme místo IP adres využít uživatele a skupiny. FSSO má řadu různých možností a využití. Zde se ale zaměříme na napojení na Active Directory doménu a využití pouze pro identifikaci uživatelů v lozích.

FortiGate přihlášení do SSL VPN pomocí SAML SSO vůči Azure AD

FortiGate podporuje protokol SAML, který můžeme využít pro ověřování (autentizaci) uživatelů vůči vzdálenému serveru (podobně jako využíváme LDAP nebo RADIUS). Takto ověřené uživatele můžeme využít na různých místech. Zde se zaměříme na SSL VPN a jako Identity Provider (zdroj identity - externí ověřovací server) využijeme Microsoft Azure AD. Může jít o uživatele On-Premises AD DS domény, které synchronizujeme do Azure AD Tenantu (nebo čistě cloudové účty). Ověřování proti Azure AD nám dovoluje využít cloudovou bezpečnost. Například vícefaktorové ověření (Multi-Factor Authentication - MFA) a obecně Conditional Access.
27.08.2021 | 05.08.2021 | Samuraj - Petr Bouška | FortiGate admin | 881x | Komentáře [2]

Změna hesla nebo jména doménového účtu

Článek uvádí obecnější informace, jak ve firemním prostředí s Microsoft doménou změnit heslo doménového uživatele (který je aktivní s platným heslem). Detailně možnosti záleží na prostředí, a využívaných službách, dané společnosti. Neřešíme zde situace s exspirací hesla, kdy může vyskakovat dialog na změnu. Zato se podíváme na situace, kdy uživatel pracuje vzdáleně. Když změníme heslo doménového účtu, tak často musíme udělat několik dalších kroků, protože se různě používá staré heslo. Trochu podobná je situace, když se změní uživatelské jméno (například při změně příjmení).

FortiGate SSL VPN autentizace přes NPS (RADIUS) vůči Azure AD

V minulém článku jsme rozebírali možnost ověření uživatelů vůči Azure AD při přihlášení do SSL VPN. Využíval se protokol SAML a bylo možno požadovat vícefaktorové ověření (Multi-Factor Authentication - MFA). Nešlo ale zároveň použít ověření klientského certifikátu. Existuje další možnost, kdy se dá využít MFA v Azure AD, dokonce dohromady s certifikátem. Má ovšem řadu jiných omezení. Využívá se Microsoft Network Policy Server (NPS), protokol RADIUS a NPS rozšíření pro Azure MFA (NPS Extension for Azure MFA).

FortiGate Admin HTTPS přihlášení pomocí SAML SSO vůči Azure AD

FortiGate podporuje protokol SAML, který můžeme využít pro ověřování uživatelů. Jedno z míst, kde jej můžeme použít, je přihlašování administrátorů do webového rozhraní (GUI). A jeden ze zdrojů identity může být Microsoft Azure Active Directory (Azure AD). Ověřování vůči Azure AD nám dovoluje využít Conditional Access. Pomocí něj můžeme třeba nastavit vícefaktorové ověření (MFA). Nebo vyžadování spravovaného zařízení pro přístup.

FortiGate problémy s připojením do SSL VPN přes FortiClient

Podíváme se na starý známý problém, kdy se FortiClient připojování do SSL VPN na FortiGate zasekne či ukončí na 98 procentech. Tento problém měl být vyřešen ve FortiClient 5.6.0. Podle diskusí se však stále objevuje i v novějších verzích. Jsou různé rady na vyřešení, ale v našem prostředí nakonec pomohlo to, co jsem nikde zmiňovat neviděl. Vypnout DTLS a připojovat se klasicky pomocí TLS. Podíváme se také na debug SSL VPN na FortiGate.

FortiGate autentizace RADIUS, skupiny a MS NPS

Článek navazuje na předchozí popisy autentizace uživatelů a přidává ověřování proti externímu serveru typu RADIUS. I ten můžeme využít pro uživatele v Microsoft doméně (Active Directory Domain Services), třeba pro ověření do SSL VPN. Stručně se podíváme na konfiguraci Network Policy Server (NPS). Hlavně na způsob, jak přenášet údaj o zařazení uživatele do skupiny.

Hybrid Azure AD Join

Registrace počítačů a dalších zařízení (jako jsou mobilní telefony) do Azure AD nám může přinést různé výhody. Krátce zmíníme základní možnost Azure AD Device Registration. Dále se budeme věnovat Hybrid Azure AD Join. Kdy máme počítače připojené k On-Premises AD doméně, jejich účty synchronizujeme do Azure AD a počítače se zaregistrují do Azure AD. Mohou pak využívat výhody obou prostředí. V Azure AD funguje SSO a podmíněný přístup (Conditional Access).

Azure AD přihlašování bez hesla a vícefaktorové ověření (MFA)

Navážeme na minulý článek, který se věnoval samoobslužnému portálu na reset hesla nebo odemknutí účtu (SSPR). Podíváme se na to, co Microsoft označuje jako přihlašování bez hesla (Passwordless Sign-in). Zde za pomoci aplikace Microsoft Authenticator. Jako hlavní se budeme věnovat vícefaktorové autentizaci (Multi-Factor Authentication - MFA). Znovu si zmíníme ověřovací metody a podíváme se i na jejich správu v Azure AD.

Azure AD moderní ověřování, samoobslužný reset hesla (SSPR)

V článku se podíváme na možnosti Azure AD pro samoobslužnou změnu či reset hesla nebo odemknutí účtu (SSPR). Zaměříme se na situaci, kdy máme On-Premises Active Directory Domain Services (AD DS) uživatele synchronizované do cloudového Azure AD. Ne tak důležité je, že se využívá Password hash synchronization (PHS). Na začátku budeme řešit zpětný zápis hesla (Password Writeback), aby se změny hesel v cloudu projevily i v On-Premises. Zmíníme pojem moderní autentizace, politiky hesel a důležité jsou ověřovací metody (Authentication methods).

Nejčtenější článek

TCP/IP - adresy, masky, subnety a výpočty

Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
11.08.2008 | 05.09.2007 | Samuraj - Petr Bouška | sítě | 2279872x | Komentáře [82]

Poslední aktuality

Subnet kalkulačka

23.11.2008 | Samuraj | sítě | 38757x | Komentáře [2]

Poslední fotogalerie

Poslední komentáře

  1. Jak je to s temi verzemi a licencemi je popsane zde

    https://kb.fortinet.com/kb/documentLink.do?externalID=FD48147

  2. Skúsil som to na FortiGate 61E - 6.4.6 + FortiClient 6.4.1 a funguje to až prekvapivo dobre. Ďakujem za super článok ;-)

    Mám otázku: dajú sa vo firewalle aplikovať pravidla podľa užívateľov?

    Teraz môžem pracovať len so skupinami

  3. Zdravím,

    podařilo se Vám rozchodit DC-Agent FSSO zasílání logon eventu přes SSL/TLS? Fortigate vs. Collector-Agent funguje bez problémů přes SSL/TLS, ale zasílání logon eventů nikoliv. Dané DC není vůbec vidět v "Show Monitored DCs". Jakmile se vypne na DC-Agentovi SSL/TLS tak logony začnou chodit. Ptám se ještě předtím než otevřu case s Fortinetem, protože to je vždy až ta poslední možnost :-(.

    Díky

    Cromac

  4. Doporučuji vyzkoušet nedi.ch

    Zajímavý nástroj - udělá topologi, zobrazí switche a info o jejich portech, dohledá ale i nody s IP a MAC takže lze dohledat i zpětně, kde bylo jaké zařízení připojené k síti.

  5. ja chci domu a to uz tady jsem- Karel:-(