Fortinet 服务器验证扩展V1.4

Fortinet服务器验证扩展V1.4

www.fortinet.com

目录

在网络中应用FSAE.........................................................................................................................3 FSAE概述.........................................................................................................................................3 在网络中安装FSAE.........................................................................................................................3

安装FSAE.................................................................................................................................4 配置Windows AD使用FSAE...........................................................................................................5

配置Windows AD服务器用户组.............................................................................................5 配置收集器代理设置...............................................................................................................6

配置FSAE收集器代理.....................................................................................................6 配置全局忽略列表...........................................................................................................7 配置FortiGate组过滤.......................................................................................................7

配置FortiGate设备使用FSAE..........................................................................................................9

指定收集器代理.......................................................................................................................9 查看从Windows AD服务器中导出的信息.............................................................................9 创建用户组.............................................................................................................................10 创建防火墙策略.....................................................................................................................11 允许访客访问FSAE策略.......................................................................................................12 测试配置.........................................................................................................................................12

在网络中应用FSAE

Fortinet服务器验证扩展（FSAE）能够对FortiGate设备提供对微软

Windows Active Directory用户的无缝验证。本手册将就如何在微软Windows网络中安装与配置FSAE，以及如何使用FSAE配置FortiGate设备验证用户的内容进行说明。

本手册包括以下内容： z FSAE概述

z 在网络中安装FSAE

z 配置Windows AD使用FSAE z 配置FortiGate设备使用FSAE z 测试配置

FSAE概述

FortiGate设备根据用户组来控制对资源的访问。通过FSAE，FotiGate设备获得您在Active Directory（活动目录）创建的用户组信息，并且您创建的这些组可以配置作为FortiGate设备的用户组的成员。

当一个用户登录Windows域时，FSAE发送登录用户的IP地址与AD用户组的名称到这些用户所属的FortiGate设备。FortiGate设备使用这些信息来维护域控制器用户组数据库的备份。域控制器执行对用户的验证，FortiGate设备并不执行该操作。域控制器根据IP地址来识别组成员。

在网络中安装FSAE

FSAE具有两个组件，您必须安装在网络中。

z 域控制器（DC）代理必须安装在每个域控制器以监控用户的登录情况并发

送登录信息到收集器代理。

z 必须在至少一个域控制器安装收集器代理，以便将从DC代理获得的信息发

送到FortiGate设备。

FSAE安装程序首先安装控制器代理。接着，可以进行DC代理的安装，或是可以进入“开始>程序>Fortinet>Fortinet服务器验证扩展>安装DC代理”稍后进行安装。安装程序将在您网络中域控制器的所有受信任域安装一个DC代理。

如果您在两个或更多的域控制器安装了收集器，处于可靠性的考虑，您便可以在FortiGate设备中进行一个冗余的配置备份。那么，如果当前的收集器发生

故障时，FortiGate设备可以切换到最多五个收集器代理列表中接下来的冗余配置。

使用具有管理员权限的帐户安装FSAE。您可以使用默认的管理员账户，但是在每次帐户密码更改时需要重新配置FSAE。Fortinet公司建议您创建一个专门的、具有管理员权限并且密码不会过期的帐户。

安装FSAE

安装FSAE之前，您须要从Fortinet技术支持网站下载FortiClient安装压缩文件。在将要运行收集器代理的计算机上执行以下的安装程序。该计算机可以是作为您网络一部分的任何服务器或域控制器。安装程序也将在网络中的全部域控制器上安装DC代理。

1. 创建一个具有管理员权限并且密码不会过期的帐户。详细信息参见“微软高级管理器技术文档”。

2. 使用在步骤1中创建的帐户登录。

3. 解压缩FortiClient安装文件。打开文件夹并双击FSAE_Setup.msi文件。 运行FSAE InstallShield 安装向导。 4. 点击“下一步”。或者，您可以选择FSAE安装的目录。 5. 点击“下一步”。

6. 在密码字段，输入在用户名称所列账户的密码。该账户是您当前登录使用的帐户。

7. 点击“下一步”，然后点击“安装”。 8. 当FSAE InstallShield向导完成后，确保启动了Launch DC代理安装向导并点击“完成”。

运行FSAE-安装DC代理向导。 9. 查看收集器代理IP地址。

如果收集器代理计算机具有多个网络接口，确保其中之一连接着您的网络。所列的收集器代理侦听端口是默认的。如果该端口已被一些其它服务使用，您应该更改端口。 10. 点击“下一步”。

11. 查看受信任域的列表，并点击“下一步”。

如果发现任何您需要的域没有列出，中止安装向导并与域控制器建立正确的信任关系。然后进入“开始>程序>Fortinet>Fortinet服务器验证扩展>安装DC代理”再次运行安装向导。

12. 或者，选择不设在DC代理监控下的用户登录状态。这些用户将不能够被FortiGate设备使用FSAE验证。您也可以稍后执行该设置，参见“配置Windows AD使用FSAE”。 13. 点击“下一步”。

14. 亦或者，清除那些域控制器中不设置安装FSAE DC代理的功能框选定。 15. 点击“下一步”。

16. 当安装向导提示重新启动计算机时，点击“是”。

注意：如果您在该计算机上重新安装FSAE，FSAE配置将被默认的设置取代。

如果您想创建冗余的配置，在至少一个其它域控制器上重复以上步骤。

在您使用FSAE之前，您需要既在Windows AD又在FortiGate设备上配置FSAE。

配置Windows AD使用FSAE

在FortiGate设备中，防火墙策略根据用户组控制到网络资源的访问。每个FortiGate用户组与一个或更多Windows AD用户组建立连接。

FSAE发送有关Windows用户登录FortiGate设备的信息。如果在您的Windows AD域上有很多用户，大的信息量可能会影响FortiGate设备的性能。为了避免发生这样的问题，您可以配置FSAE收集器代理只对FortiGate设备防火墙策略指定的组发送这些登录信息。

对于运行收集器代理的每个域控制器，您需要配置： z Windows AD用户组

z 收集器代理设置，包括被监控的域控制器。 z 收集器代理的“全局忽略列表”。

z 收集器代理对于FortiGate组的FortiGate组过滤设置。 服务器：微软Windows 2000，微软Windows 2003

用户端：Windows 2000 Professional，微软Windows XP Professional

配置Windows AD服务器用户组

FortiGate设备根据组的级别设置控制访问。一个组中的所有成员根据FortiGate设备防火墙策略的定义具有相同的网络访问。您可以使用现有Windows AD用户组接受FortiGate设备的验证，如果您设置在每个组中所有的成员都具有相同的网络访问权限。否则，您需要对该设置创建新的用户组。

如果您更改了一个用户组的成员，更改设置直至用户退出再登录后才可以生效。

FSAE只发送“域本地组（Domain Local Security Group）”与“全局安全组（Global Security Group）”信息到FortiGate设备。对于FortiGate设备的访问，您不能使用“分配组类型”。对于空的组，不发送任何信息。

有关创建组的详细信息，参见微软技术手册。

配置收集器代理设置

您需要配置：

z Windows AD域控制器监控。

z 忽视Windows AD用户，因为其没有参与任何FortiGate设备防火墙验证。 z Windows AD组信息发送到每台FortiGate设备。

您也可以更改默认的设置以及安装过程中您配置的设置。

配置FSAE收集器代理

1. 在“开始”菜单，点击“程序>Fortinet>Fortinet FSAE>配置FSAE”。 2. 输入以下信息并点击“保存并关闭”。 域控制器监控 点击选择域控制器监控的用户。

全局用户忽略列表 排除那些不受任何FortiGate设备验证的

用户，如系统帐户。

FortiGate用户组过对每台FortiGate设备配置用户过滤。

滤

Sync配置 将收集器代理的“全局忽略列表”与“用

户过滤”拷贝到其它收集器代理以进行配置的同步。您将被要求对每个收集器代理进行同步确认。

侦听端口 如需要，您可以更改端口的数量。

TCP端口。默认端口号为8000。 FortiGate

DC代理 DC代理使用UDP端口。默认端口号为

8002。

日志记录

日志级别 选择所记录信息的最低严重级别。

日志文件大小 输入日志文件的最大存储（MB）。

验证

设置FortiGate设备在连接到收集器代理之前选择需要

验证 FortiGate设备验证的项目。 密码 输入FortiGate设备必须使用用于验证的

密码。密码的最大长度为16个字符。默认的密码为“fortinetcanada”。

计时器

工作站校验间隔 输入FSAE查看用户是否登录的时间间

隔（分钟）。默认的间隔时间是5分钟。如果端口139或445在您的网络中是不开放的，将间隔时间设置为0可以撤消检测。

失效条目超时间隔 输入FSAE将清除不能校验的用户的间

隔时间。默认的间隔时间是480分钟（8

保存并关闭 应用 默认 帮助

注意：查看FSAE配置的版本与子版本的信息，点击Fortinet收集器代理配置页面右上角的Fortinet图标，选择“有关FSAE配置”。

小时）。

失效条目通常是因为计算机不可达而造成的（例如待机模式或未连接状态），但是用户没有退出。

您也可以将间隔值设置为0撤消失效条目检测。

保存修改的设置并退出。 应用更改的设置。

将所有设置恢复为默认值。 参见在线帮助。

配置全局忽略列表

全局忽略列表将不被任何FortiGate验证的用户如系统帐户排除在外。 这些用户的登录将不对FortiGate设备报告。

配置全局忽略列表

1. 从开始菜单点击“程序>Fortinet>Fortinet服务器验证扩展>配置FSAE”。 2. 点击“全局忽略列表”。

3. 扩展每个域并选择忽略的用户。 4. 点击“保存”。

配置FortiGate组过滤

FortiGate设备可以配置发送到每台FortiGate设备的登录信息。您需要配置一个列表，以便每台FortiGate设备接收防火墙策略指定用户组的用户登录信息。

初始的过滤列表是空的。您需要使用“添加”功能对FortiGate设备配置过滤。至少，您可以创建一个默认的过滤列表，对没有进行具体过滤设置的所有FortiGate设备应用。

注意：如果没有对FortiGate设备定义过滤并且也没有默认的过滤，收集器代理将发送所有的Windows AD组以及用户登录事件到FortiGate设备。通常情况下，这不是什么问题，但是发送到FortiGate设备的数据量可以通过减少设备用来存储组列表的内存量来提高设备性能。

查看FortiGate设备过滤列表

1. 在开始菜单点击“程序>Fortinet>Fortinet服务器验证扩展>配置FSAE”。 2. 点击打开FortiGate组过滤列表。

FortiGate SN 过滤列表应用的FortiGate设备的序列号。 描述 FortiGate设备功能的描述。

被监控的组 与该FortiGate设备防火墙策略有关的Windows AD用户组。 添加 添加新的过滤列表。 编辑 编辑选定的过滤项。 删除 删除选定的过滤项。

保存过滤列表并退出。 OK

取消 取消更改并退出。

配置FortiGate设备组过滤

1. 在开始菜单点击“程序>Fortinet>Fortinet服务器验证扩展>配置FSAE”。 2. 点击“FortiGate组过滤”。

3. 点击“添加”创建新的过滤列表。如果您想修改现有的过滤项，在过滤列表中选定并点击“编辑”。 4. 输入以下信息并点击“OK”。 默认 点击创建默认的过滤列表。默认的过滤列表将应用到全部

没有定义具体过滤列表的FortiGate设备。

FortiGate设过滤列表应用的FortiGate设备的序列号。如选定了“默认”备序列号 该字段将不可用。 描述 输入该FortiGate设备在网络中的作用。例如，您可以列出

该设备可以访问的网络资源。如选定了“默认”该字段将不可用。

所监控的组 收集器代理将发送FortiGate设备用户登录的信息到该列表

中所列的Windows AD用户组。您可以使用“添加”、“高级选项”与“删除”按钮编辑该列表。

添加 在之前的单行字段，以域/组的形式输入Windows AD域名

称与用户组名称并点击“添加”。如果您不知道确切的名称，点击“高级选项”名称。

高级选项 点击“高级选项”，从列表中选择用户组并点击“添加”。 删除 删除在监控列表中选定的用户组。

配置TCP端口

Windows AD只记录用户登录并不记录用户退出的信息。为了发挥设备的最佳性能，FSAE对用户的登录退出进行监控。为了实现该功能，FSAE需要对每个用户端计算机的注册表通过TCP端口139或445进行只读权限的访问。这些端口中至少一个应该呈开放状态，并没有被防火墙策略屏蔽。

如果开放TCP端口139或445不可行或不能接受，您可以将收集器代理工作站校验值设置为0关闭FSAE用户登录退出检测。FSAE会认为已经登录的计算机在收集器代理失效条目超时间隔期间仍然是登录状态。默认情况下，该间隔时间为8小时。有关间隔时间设置的详细信息，参见“计时器”与“配置收集器代理设置”章节。

配置FortiGate设备使用FSAE

配置FortiGate设备使用FSAE，您需要：

z 指定包含FSAE收集器代理的Windows AD服务器

z 在新的或现有的FortiGate设备用户组中添加活动目录（AD）用户组 z 对Windows AD服务器组创建防火墙策略

z 或者，指定一个访客保护内容列表，允许访客访问

指定收集器代理

您需要配置FortiGate设备访问至少一个FSAE收集器代理。您最多可以在一个已安装的收集器代理上指定五个Windows AD 服务器。FortiGate设备访问这些服务器以便确定它们均在列表中。如果一台服务器不可用，设备将访问列表中接下来的服务器。

指定服务器代理

1. 进入“用户>Windows AD”并点击“新建”。 2. 输入以下信息并点击OK。 名称 输入Windows AD服务器名称。该名称将在您创建用户组

时出现在Windows AD 服务器列表中。

FSAE收集器IP 最多对五个收集器代理输入以下信息。

IP地址 输入安装该收集器的Windows AD 服务器IP地址。 端口 输入Windows AD使用的TCP端口。该端口必须与FSAE

收集器代理配置中指定的FortiGate设备侦听端口是同一端口。

密码 输入收集器代理的密码。只有在您配置FSAE收集器代理

需要验证后访问才需要输入密码。

查看从Windows AD服务器中导出的信息

您可以查看FortiGate设备从AD服务器接收的域与组信息。进入“用户>Windows AD”。

图1：活动目录中的组列表

新建 名称

AD服务器

域名称

组名称

FSAE收集器IP

删除图标

编辑图标

刷新图标

添加新的Windows AD服务器。

对Windows AD服务器定义的名称。

从Windows AD服务器中导入的域名称。 从Windows AD服务器中导入的组名称。 Windows AD服务器的IP地址。 删除WindowsAD服务器定义项。 编辑WindowsAD服务器定义项。

从Windows AD服务器获得的用户组信息。

创建用户组

您不能直接在FortiGate设备防火墙策略中使用活动目录（AD）组。您必须将活动目录组添加在FortiGate设备用户组中。

一个活动目录组应该只属于一个FortiGate设备用户组。如果您将其分配到多个FortiGate设备用户组，FortiGate设备只识别最后一个被分配的用户组。

对FSAE验证创建一个用户组 1. 进入“用户>用户组”。 2. 点击“新建”。

打开新的用户组对话框。 图2：新建用户组对话框

3. 在名称栏，输入设定的组名称，例如“Developers”。 4. 在类型列表中，选择“活动目录”。 5. 在内容保护列表中，选择保护项。

6. 从“可用用户列表”中选择所需要的活动目录组。 用CTRL键或SHIFT键可以选择多个组。

7. 点击绿色的箭头，将所选中的组移动到“成员列表”中。 8. 点击“OK”确认。

创建防火墙策略

需要FSAE验证的策略类似于其它防火墙策略。当前，如果源接口/源IP对等相同的情况下只可以配置一项验证防火墙策略。

对FSAE验证创建一项防火墙策略

1. 进入“防火墙>策略”并点击“新建”。 2. 输入以下信息： 源接口与地址 必需 目标接口与地址 必需 时间表 必需 服务 ANY 动作 ACCEPT

如需要 NAT

3. 点击“验证”，然后从邻近的列表中选择“活动目录（Active Directory）”。 4. 从“可用组”列表中选择所需的用户组，点击向右箭头将所选定的组移动到“被允许”列表中。

使用CTRL键或SHIFT键可以选择多个组。 5. 点击“OK”确认。

允许访客访问FSAE策略

作为可选项，您可以设置允许访客用户访问FSAE策略。访客没有登录到Windows AD域，对于Windows AD网络与服务器来说是未知的用户。设置允许访客的访问，可以使用FortiGate GUI或CLI对您的FSAE防火墙策略指定一项访客保护内容项。例如： config firewall policy edit FSAE_policy

set fase-guest-profile strict end

您可以指定任何现有的内容保护项。根据需要，您可以创建一个用户保护内容表应用到访客用户。详细信息，参见FortiGate设备管理员手册中防火墙内容保护列表章节。

测试配置

校验网络与FortiGate设备中FSAE的配置。 1. 从您网络中的一个工作站，使用一个属于已配置在FortiGate设备中验证的用

户组的帐户登录到所属的域。

2. 尝试连接到由防火墙策略配置保护需用通过FSAE进行验证的资源。 您应该在不被要求输入用户名与密码的情况下能够连接到所访问的资源。 3. 退出刚才的登录，并使用一个不属于您配置FortiGate设备验证的组中的帐户

再次登录。

4. 尝试连接到由防火墙策略配置保护需用通过FSAE进行验证的资源。 您的连接尝试将失败。