5-FortiNAC Kurulum Serisi / Active Directory Entegrasyonu
FortiNAC Active Directory LDAP Entegrasyonu
FortiNAC Active Directory entegrasyonunda System->Settings->Authentication->LDAP seçilir ve burada ADD seçeneği ile ekleme işlemine başlanır. Burada FortiNAC yardımcı olmak için domain’leri bulup hangisi olduğunu soruyor, burada domaine çift tıklayarak devam edilir.
Açılan menüde Domain Controller’ın mac adresinin girilmesi gereklidir. Bu mac adresi fortigate’de get system arp komutu çalıştırarak alınabilir.
Daha sonra Domain Controller üzerinde bir domain admin service account’ı oluşturulur, bu service accountın bilgileri de FortiNAC üzerinde tanımlanır.
- LDAP Login için giriş bilgilerinde @domain ya da domain\ görünümünde giriş ister. Yalnızca kullanıcı adı bilgisiyle giriş yapılmasına izin vermez. Kullanıcı bilgileri domain.local\fnac ya da fnac@domain.local olarak girilebilir.
Active Directory Domain Entegrasyonu, FortiGate ile benzer şekilde gerçekleşmektedir. Bu doğrultuda menüler oluşturulur.
Seçili olan domain altındaki kullanıcıların FortiNAC’a import edileceği belirtilir. Bütün kullanıcılarda uygulanacağı için tüm domain grubunun alınması yeterlidir.
Yani görsellerdeki şekilde işlemler gerçekleştirildiğinde, tüm gruplar son menü altında görünür oldu, test için eklenecek grup olan NACTEST grubu bulunur.
Son olarak OK seçilerek grup çekme işlemini tamamlanır.
Yeni Groupları Ekleme
Burada yeni eklenen grupları FortiNac’a, AD üzerinden dahil etmek için LDAP entegrasyonu menüsüne girilir, sol menüden Groups altından yeni group eklenerek OK seçilir. Böylelikle yeni grup eklenmiş olur.
Schedule
Domain’e yeni bi grup enlendiğinde, her 5 dakikada bir FortiNAC’ın grupları üzerine çekmesi için bu ayar değiştirilir. Yeni grup eklendiğinde anında çekmesi için buradan Run Now yaparak o 5 dakika da beklenmeyebilir.
Allowed Domains
Son kullanıcı cihaz ağa bağlantı yapmak istediğinde, agent üzerinde oturum açacaktır. Bu oturum açma esnasında kullanıcı bilgileri Active Directory’de doğrulanacaktır. Yani kullanıcı agent üzerinde kullanıcı bilgilerini (zehra) girip yolladığında bu bilgiler aslında arkaplana şöyle yansıyacaktır; zehra@domain.local . AD’ye gidip doğrulama yapmasına sebep olan kısım @’den sonraki kısımdır. Bu realm ile nereye doğrulama yapmaya gideceğini anlıyor. Bu realm DNS ile çözümleniyor ve IP adresi ortaya çıkıyor, paket domain.local’e gidiyor.
İşte bu noktada bir problem var çünkü henüz doğrulama yapmamış kullanıcılar register ve remediation networklerinde bulunurlar. Bu networklerde bulunan kullanıcılar DNS isteklerini FortiNAC’ın ETH1’ine yapacak şekilde ayarlamaları yapılmıştı. Aşağıdaki ekran görüntüsü gibi.
Burada DNS olarak ETH1 çözülecektir ve ETH1’i üzerine kayıtlı DNS adresleri;
Normal şartlar altında burada domain.local’in dns kaydı bulunmamaktadır.
Yani kullanıcılar zehra@domain.local ile oturum açma isteğinde bulundukları domain.local ETH1 üzerinden bulunamadığından çözümleme yapılamayacaktır.
Bu sebeple bu allowed domain listesine domain.local, Domain Controller eklenir.
Bu makalede, FortiNAC ile Active Directory LDAP entegrasyonunun nasıl gerçekleştirileceğini adım adım ele aldık. Doğru yapılandırma ile kullanıcıların kimlik doğrulama süreçleri daha güvenli ve yönetilebilir hale gelir. Ayrıca, grupların otomatik olarak senkronize edilmesi, erişim kontrollerinin dinamik bir şekilde yönetilmesine olanak tanır.
Önümüzdeki hafta Groups menüsünün derin incelemesinde tekrar buluşmak dileğiyle.
FortiNAC makale serisine genel bakış için FortiNAC’a Genel Bakış makalesini inceleyebilirsiniz.
