教程篇(7.0) 06. FortiGate基础架构 & 单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4
Posted meigang2012
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(7.0) 06. FortiGate基础架构 & 单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4相关的知识,希望对你有一定的参考价值。
在本课中,你将学习Fortinet单点登录(FSSO)。当你使用此功能时,你的用户不需要每次访问不同的网络资源时都登录。
本节课,你将学习这上图显示的主题。
完成本节后,你应该能够实现上图显示的目标。
通过展示理解SSO概念的能力,你将能够更有效地理解FSSO方法。
SSO是一个过程,它允许用户在识别出每个应用程序后自动登录到每个应用程序,而不考虑平台、技术和域。
FSSO是一种软件代理,在使用FortiAuthenticator进行高级部署时,FortiGate可以根据安全策略或VPN访问来识别网络用户,而无需询问用户的用户名和密码。用户登录目录服务时,FSSO代理将用户的用户名、IP地址和所属组列表发送给FortiGate。FortiGate使用这些信息来维护用户名、IP地址和组映射的本地数据库。
因为域控制器对用户进行身份验证,FortiGate不执行身份验证。当用户尝试访问网络资源时,FortiGate会为目标选择适当的安全策略。如果用户属于允许连接的用户组,则允许连接。
FSSO通常用于目录服务网络,如Windows Active directory或Novell eDirectory。
如何部署和配置FSSO取决于提供目录服务的服务器。
Windows AD的FSSO使用的是采集器代理。还可能需要域控制器(DC)代理,这取决于收集器代理的工作模式。在Windows中监视用户登录活动有两种工作模式:DC代理模式和轮询模式。FortiGate还提供了不需要收集器代理的轮询模式,该模式适用于用户数量最少的简单网络。
还有另一种DC代理专门用于Citrix和终端服务环境:终端服务器(TS)代理。TS代理需要Windows Active Directory收集器代理或FortiAuthenticator来收集登录事件并将其发送到FortiGate。
eDirectory代理安装在Novell网络上,以监视用户登录并将所需的信息发送到FortiGate。它的功能很像Windows AD域控制器上的收集器代理。代理可以使用Novell API或LDAP从Novell eDirectory获取信息。
答案:B
答案:A
现在你已经了解了关于FSSO功能和如何部署的基本概念。接下来,你将学习使用FSSO在Windows Active Directory中的用户登录事件。
完成本节后,你应该能够实现上图显示的目标。
通过展示理解为Windows AD配置FSSO的不同方法的能力,你将能够更好地设计SSO系统的体系结构。
DC代理模式被认为是FSSO的推荐模式。
DC代理模式要求:
● 每个Windows DC上安装一个DC代理
如果你有多个数据中心,这意味着你需要多个数据中心代理。DC代理监视用户登录事件并将其转发给收集器代理。
● 收集器代理,它是另一个FSSO组件
收集器代理安装在Windows服务器上,该服务器是你试图监视的域的成员。它整合从DC代理接收到的事件,然后将它们转发给FortiGate。收集器代理负责组验证、工作站检查和登录记录的FortiGate更新。FSSO采集器代理可以向FortiGate设备发送域本地安全组、组织单元(ou)和全局安全组信息。还可以为DNS查找定制它。
当用户登录时,DC代理将拦截域控制器上的登录事件。然后,它解析客户端的DNS,并将其发送给收集器代理。
收集器代理接收它,然后执行DNS解析,以检查用户的IP是否已更改。
在某些配置中,双DNS解析是一个问题。在这种情况下,你可以在托管DC代理的域控制器上配置注册表项,以避免解析DNS:donot_resolve = (DWORD) 1 at HKLM/Software/Fortinet/FSAE/dcagent
上图显示了在DC代理、收集器代理和为FSSO身份验证配置的FortiGate之间传递信息的过程。
1. 当用户使用DC进行身份验证时,他们提供自己的凭证。
2. DC代理看到登录事件,并将其转发给收集器代理。
3. 收集器代理聚合所有登录事件,并将该信息转发给FortiGate。收集器代理发送的信息包括用户名、主机名、IP地址和用户组。收集器代理通过TCP端口8000(默认)与FortiGate通信,并侦听UDP端口8002(默认),以获取来自DC代理的更新。端口是可定制的。
4. FortiGate从收集器代理得知用户是谁,他们的IP地址,以及用户所属的一些AD组。当用户访问internet时,FortiGate会将源IP地址与FSSO主用户列表进行比较。由于本例中的用户已经登录到域,FortiGate已经拥有他们的信息,因此FortiGate不会提示用户再次进行身份验证。而是根据匹配的防火墙策略允许或拒绝流量。
轮询模式可以是基于代理或无代理的收集器。
首先,你将了解基于收集器代理的轮询模式。与DC代理模式一样,基于收集器代理模式需要在Windows服务器上安装一个收集器代理,而不需要在每个DC上安装DC代理。基于收集器代理的轮询方式需要比DC代理更强大,并且在没有登录事件的情况下会产生不必要的流量。
Windows事件日志轮询是最常用的轮询方式,采集器代理通过SMB (TCP端口445)协议定期向域控制器请求事件日志。其他方法可能以不同的方式收集信息,但是在收集器代理接收到登录后,收集器代理解析数据并构建用户登录数据库,该数据库由用户名、工作站名/IP地址和用户组成员关系组成。然后,这些信息就可以发送到FortiGate了。
如前所述,基于收集器代理的轮询模式有三种方法(或选项)收集登录信息:
● NetAPI:在用户登录或注销时轮询DC上创建的临时会话,并调用Windows下的NetSessionEnum函数。它比WinSec和WMI方法快;然而,如果DC处于沉重的系统负载下,它可能会错过一些登录事件。这是因为在代理有机会轮询和通知FortiGate之前,会话可以快速地从RAM中创建和清除。
● WinSecLog:轮询DC中的所有安全事件日志。它不会错过DC记录的任何登录事件,因为事件通常不会从日志中删除。如果网络很大,FortiGate在接收事件时可能会有一些延迟,因此写入日志的速度会很慢。还要求在Windows安全日志中记录特定事件ID的审计成功情况。有关支持的事件ID的完整列表,请访问Fortinet知识库(http://kb.fortinet.com)。
● WMI:是一个从Windows服务器获取系统信息的Windows API。DC返回所有请求的登录事件。收集器代理是一个WMI客户机,并将有关用户登录事件的WMI查询发送到DC,在本例中,DC是一个WMI服务器。收集器代理不需要在DC上搜索用户登录事件的安全事件日志;相反,DC返回所有请求的登录事件。这减少了收集器代理和直流之间的网络负载。
上图展示了使用基于收集器代理的轮询模式的FSSO示例。这个示例包括DC、收集器代理和FortiGate,但是DC没有安装dcagent(或者,也可以安装dcagent.dll)。
1. 用户使用DC进行身份验证,提供他们的凭据。
2. 收集器代理定期(每隔几秒钟)直接轮询每个DC的TCP端口445,以询问是否有人登录。
3. 采集器代理通过8000 TCP端口向FortiGate发送登录信息。这与在DC代理模式下发送的信息相同。
4. 当用户流量到达FortiGate时,FortiGate已经知道哪些用户的IP地址,不需要重复认证。
无需安装代理即可部署FSSO。FortiGate直接轮询DC,而不是从收集器代理间接接收登录信息。
因为FortiGate本身收集所有数据,所以无代理轮询模式需要更多的系统资源,而且不容易扩展。
无代理轮询模式的运行方式与WinSecLog类似,但只有两个事件ID:4768和4769。因为没有收集器代理,FortiGate使用SMB协议从DC读取事件查看器日志。
在无代理轮询模式下,FortiGate充当收集器。它负责在其正常的FSSO任务之上进行轮询,但不具备外部收集器代理可用的所有额外功能,如工作站检查。
上图展示了在没有代理的情况下如何处理通信。(无收集器代理或DC代理。)
1. FortiGate轮询DC TCP端口445以收集用户登录事件。
2. 用户通过DC验证后,FortiGate在下一次轮询期间注册一个登录事件,获得以下信息:用户名、主机名和IP地址。FortiGate然后查询用户的用户组。
3. 当用户发送流量时,FortiGate已经知道它接收的是谁的流量;因此,用户无需进行身份验证。
该表总结了DC代理模式和轮询模式的主要区别。
DC代理模式比较复杂。它不仅需要一个收集器代理,还需要每个被监控域控制器的DC代理。不过,它的可伸缩性也更强,因为捕获登录的工作由DC代理完成,DC代理将其信息直接传递给收集器。
在轮询模式下,收集器需要每隔几秒查询一个域控制器。因此,随着添加的每个DC的增加,查询的数量也会增加。如果在轮询模式下需要添加第二个收集器代理以实现冗余,则两个收集器代理都需要分别查询每个DC。
在DC代理模式下,DC代理只需收集一次日志,并向所有收集器代理发送一份必要信息的副本。相比之下,如果你使用轮询模式,一些登录事件可能会被错过或延迟,这取决于所使用的轮询选项。
你不必在DC上安装收集器代理,可以将其安装在网络上的任何Windows机器上。
无论你选择哪种收集器方法,AD网络的一些FSSO要求都是相同的:
● Microsoft Windows登录事件有工作站名称和用户名,但没有工作站IP地址。当采集器代理接收到登录事件时,会查询DNS服务器来解析工作站的IP地址。因此,FSSO要求你拥有自己的DNS服务器。如果工作站IP地址更改,必须立即更新DNS记录,以便收集器代理知道更改并将其报告给FortiGate。
● 对于完整的特性功能,收集器代理需要与所有工作站连接。由于注销时不会生成被监视的事件日志,因此收集器代理(取决于FSSO模式)必须使用不同的方法来验证用户是否仍然登录。因此,对每个用户工作站进行轮询,以查看用户是否还在那里。
● 当用户登录时,DC代理将拦截域控制器上的登录事件。然后,它解析客户端的DNS,并将其发送给收集器代理。
收集器代理接收DNS,然后执行DNS解析,以检查用户的IP是否已更改。
答案:A
答案:B
现在你了解了FortiGate如何使用FSSO检测Windows Active Directory (AD)中的登录事件。接下来,你将了解NT LAN管理器(NTLM)是如何工作的,以及如何与FSSO进行交互以实现web发起的登录。
完成本节后,你应该能够实现上图显示的目标。
通过展示理解NTLM认证及其与FSSO交互的能力,你将能够使用NTLM认证配置一个透明的web发起的登录会话。
在AD环境中,FSSO还可以与NTLM一起工作,NTLM是一套微软安全协议,为用户提供身份验证、完整性和机密性。
NTLM身份验证不需要DC代理,但它对用户不是完全不可见的;用户必须在NTLM协商过程中输入他们的凭证。NTLM身份验证是微软专有的解决方案,因此只能在Windows网络中实现。
NTLM最常用于以下情况:由于某种原因,收集器代理无法对用户进行DC身份验证,或者当收集器代理与一个或多个DC代理之间出现通信问题时。换句话说,NTLM身份验证最好用作FSSO的备份。
请注意,FortiGate本身不能执行NTLM身份验证。FortiGate需要将用户输入的凭证传递回收集器代理进行验证。反过来,如果身份验证成功,收集器代理将使用适当的用户组响应FortiGate。
上图展示了在一个简单的域配置中,在NTLM身份验证期间如何处理消息。
1. 当同时启用FSSO和NTLM时,使用NTLM作为FSSO的退路。当FortiGate接收到来自FSSO用户列表中不存在的IP地址的流量时,会触发NTLM。
2. FortiGate回复了一个NTLM挑战,请求凭证。
3. 用户的浏览器发送请求的凭据。
4. FortiGate接收用户的凭据,然后通过TCP端口使用收集器代理对其进行身份验证8000。FortiGate还接收用户所属组的名称。
5. 如果凭据是正确的,FortiGate授权用户访问。
与全FSSO不同,NTLM身份验证对用户不透明。在大多数浏览器中,默认情况下,在Internet Explorer中,每当浏览器收到NTLM身份验证质询时,用户都必须输入他们的凭证。
但是,你可以将Internet Explorer配置为每次它收到NTLM挑战时自动发送用户的凭据。为此,在“Internet选项”对话框中,单击“自定义级别”。然后,在设置对话框中,滚动到用户身份验证登录,然后选择自动登录与当前用户名和密码。
在NTLM的多域环境中,域之间的信任关系非常重要。当一个AD林中存在多个域时,会自动建立信任关系,因此一个域控制器上只需要一个DC代理。但是,当多个域不在AD林中时,你有两个选项:
● 通过AD设置域间的信任关系
● 每个域上安装一个DC代理,然后使用安全策略进行网络访问
如果你决定在每个域上安装一个DC代理,DC代理会将登录信息发送给收集器代理。这个过程是这样的:
1. 用户登录本地DC。
2. DC代理将用户登录事件信息发送给收集器代理。
3. 用户尝试访问internet。
4. FortiGate通过联系收集器代理获取登录信息来验证用户是否通过了身份验证。
5. 如果用户通过了正确的身份验证,FortiGate就允许他们访问互联网。
答案:B
答案:A
现在你了解了如何在NTLM身份验证中使用FSSO。接下来,你将学习如何配置FSSO设置。
完成本节后,你应该能够实现上图显示的目标。
通过演示在FortiGate上配置FSSO设置以及安装和配置FSSO代理的能力,你将能够在你的网络中实现FSSO。
FortiGate FSSO配置很简单。
无代理轮询时,如果使用FortiGate作为收集器,必须选择“Poll Active Directory Server”,并为每个DC配置IP地址和AD管理员凭据。
FortiGate通过LDAP查询AD检索用户组信息。为此,必须将LDAP服务器添加到Poll Active Directory服务器配置中。
如果有收集器代理,无论是DC代理模式还是基于收集器代理的轮询模式,都需要选择“Fortinet单点登录代理”,并为每个采集器代理配置IP地址和密码。
FSSO收集器代理访问Windows AD有两种方式:
● Collector Agent:在Collector Agent上创建组过滤器。你可以将FortiGate设置为Collector Agent模式,而Collector Agent仍然可以使用Advanced模式访问嵌套组。
● Local:使用LDAP服务器在FortiGate上创建组过滤器。如果“FortiGate”模式为“Local”,则必须将采集器代理设置为“Advanced”模式,否则采集器代理将无法识别FortiGate发送的组过滤器,无法传递任何用户登录。
FSSO代理可以在Fortinet支持网站上找到。你会发现以下内容:
● DC代理
● 微软服务器的收集器代理:FSSO_Setup
● Novell目录的收集器代理:FSSO_Setup_edirectory
● Citrix和终端服务器的终端服务器代理(TSagent)安装程序:TSAgent_Setup
此外,对于每个代理,都有两个版本:可执行文件(.exe)和Microsoft安装程序(.msi)。
注意,不需要将FSSO版本与FortiGate固件版本匹配。安装FSSO时,为你的主要版本获取最新的收集器代理。但是,你需要将DC代理版本匹配到收集器代理版本。
下载完收集器代理后,以管理员身份运行安装过程,并在安装向导中执行以下步骤:
1. 阅读并接受许可协议。
2. 可以选择更改安装位置。默认文件夹名为FSAE (Fortinet服务器认证扩展)。
3. 输入用户名。默认情况下,代理使用当前运行帐户的名称;但是,你可以使用以下格式来更改它:DomainNamelUserName。
4. 或者,将收集器代理配置为监视、NTLM身份验证和目录访问。这些选项在安装后也可以定制。虽然默认模式是标准模式,但在进行新的FSSO设置时,最好使用高级模式进行安装。你将在本课的后面看到一些优势。
5. 如果要使用DC代理模式,请确保已选中“启动DC代理安装向导”。自动启动DC代理安装。
如果你刚刚安装了收集器代理,并选择了“启动DC代理安装向导”,则域控制器代理的安装过程将自动启动。
1. 输入收集器代理的IP地址。如果默认值已经被其他服务使用,还可以自定义侦听端口。
2. 选择要监视的域。如果没有列出任何所需的域,请取消向导并与域控制器建立正确的信任关系。然后,再次运行向导。请注意,这也可能是使用一个没有所有必要权限的帐户的结果。
3.可选地,选择你不想监视的用户;这些用户的登录事件不会被收集器记录,因此不会传递给FortiGate。虽然这些用户仍然能够向域生成登录事件,但当收集器代理检测到它们时,它们将被丢弃,以不干扰已登录的用户。这在具有集中管理的防病毒解决方案或使用AD帐户启动的计划备份服务的环境中特别有用。这些帐户可以为覆盖现有用户登录的收集器代理创建登录事件。这可能会导致FortiGate基于覆盖帐户应用不正确的策略和配置文件。你还可以自定义在安装完成后忽略用户的选项。
4. 或者,清除你不希望在其上安装DC代理的域控制器的复选框。请记住,对于DC代理模式FSSO,至少必须有一个域控制器安装了DC代理。还请记住,安装DC代理需要在开始收集登录事件之前重新启动DC。你可以在安装完成后随时添加或移除数据中心代理。
5. 工作模式选择“DC Agent模式”。如果选择“轮询模式”,则不安装DC代理。
最后,向导请求重新启动系统。
在FSSO代理配置界面中,可以进行如下配置:
● 与DC代理(UDP)通信的侦听端口
● 用于与FortiGate (TCP)通信的侦听端口
● NTLM认证支持
● 收集器代理和FortiGate之间的密码验证
● 计时器
FSSO收集器代理允许你配置FortiGate组过滤器,该过滤器主动控制哪些用户登录信息被发送到每个FortiGate设备。因此,你可以定义收集器代理将哪些组传递给各个FortiGate设备。
在大型AD结构中监视整个组列表的效率非常低,而且会浪费资源。大多数FSSO部署需要组分段(至少4或5个组),目的是使用基于身份的策略将不同级别的安全配置文件配置分配给不同的组。
组过滤器还有助于限制发送到FortiGate的流量。FortiGate上允许的Windows AD用户组的最大数量取决于模型。FortiGate低端型号支持256个Windows AD用户组。中高端机型可以支持更多群体。这是每个VDOM,如果VDOM在FortiGate上启用。
你可以在FortiGate上而不是在收集器代理上进行筛选,但只有当收集器代理在高级模式下运行时才可以。在本例中,收集器代理使用你在FortiGate上选择的组列表作为该设备的组筛选器。
筛选器列表最初为空。至少,你应该创建一个默认的筛选器,该筛选器应用于所有FortiGate设备,而不需要定义筛选器。
请注意,如果你将AD访问模式从标准改为高级或高级改为标准,你必须重新创建过滤器,因为它们会因模式而异。
FSSO收集器代理将忽略与“忽略用户列表”条目匹配的任何登录事件。因此,这些登录事件不会被收集器代理记录,也不会报告给FortiGate。
将所有网络服务帐户添加到忽略用户列表是一个很好的做法。服务帐户倾向于覆盖用户登录事件,并在基于身份的策略匹配中产生问题。
可以通过以下方式将用户添加到忽略用户列表中:
● 手动输入用户名。
● 单击Add Users,然后选择你不想监视的用户。
● 单击“按OU添加”,从目录树中选择OU。
FSSO收集器代理定时器在确保FSSO正确运行方面起着重要作用。
现在,你将了解每一个以及它们是如何工作的。
● 工作站检查间隔。此设置控制收集器代理何时连接到端口139(或端口445)上的单个工作站,并使用远程注册表服务来验证用户是否仍然登录到相同的工作站。当无法连接到工作站时,它将在Show login user下更改用户的状态为未验证。如果它连接了,它会验证用户并且状态保持正常。为了方便这个验证过程,你应该将远程注册表服务设置为在所有域成员计算机上自动启动。
● 无效入口超时时间间隔。此设置仅适用于状态未验证的表项。当一个条目未被验证时,收集器启动这个计时器。这是用来老化的条目。当计时器过期时,登录将从收集器中删除。从FortiGate的角度来看,OK的条目和未验证的条目之间没有区别。两者都是有效的。
● IP地址变更验证时间间隔。该设置检查已登录用户的IP地址,并在用户IP地址发生变化时更新FortiGate。这个定时器在DHCP或动态环境中特别重要,可以防止用户在更改IP地址时被锁定。域名DNS服务器要准确;如果DNS服务器没有及时更新受影响的记录,则会导致采集器代理的IP信息不准确。
● 缓存用户组查找结果。此设置在定义的一段时间内缓存用户组成员关系。即使用户在AD中更改了组成员关系,也不会更新。
另一个重要的FSSO设置是AD访问模式。单击“设置目录访问信息”,可设置AD的访问方式。AD访问方式指定了采集器代理访问和收集用户和用户组信息的方式。你可以使用两种模式访问AD用户信息:标准模式和高级模式。
模式之间的主要区别是使用的命名约定:
● 标准模式使用Windows约定,NetBios: Domain\\groups,而
● 高级模式使用LDAP约定:CN=User,OU=Name,DC=Domain。
此外,高级模式支持嵌套或继承组;也就是说,用户可以是属于被监视的父组的子组的成员。此外,在高级模式下,FortiGate可以将安全配置文件应用于单个用户、用户组和ou。
相比之下,在标准模式下,你只能将安全配置文件应用于用户组,而不能应用于单个用户。
在高级模式下,你可以将FortiGate作为LDAP客户端进行配置,并在FortiGate上配置组过滤器。你还可以在收集器代理上配置组过滤器。
如果收集器代理上的LDAP失败,不管FortiGate上的LDAP说什么,FSSO都不会工作。如果FortiGate LDAP失败,但采集器代理上的LDAP仍在运行,则可能导致FortiGate无法收集日志,但采集器代理仍在收集日志。
Fortinet强烈鼓励用户从收集器代理创建过滤器。
在AD设置中,不支持所有的组类型。AD设置仅支持以下过滤组:
● 安全组
● 通用组
● 组内部OU
● 本地或通用组,包含来自子域的通用组(仅使用Global Catalog)
所有FortiGate配置都包含一个名为SSO_Guest_User的用户组。当只使用被动认证时,所有不属于任何FSSO组的用户都自动归入该guest组。
这允许管理员为不属于Windows AD域的访客用户配置有限的网络访问。
但是,如果对特定的流量同时启用了被动和主动身份验证,那么你就不能使用SSO_Guest_User,因为来自FSSO用户列表之外的IP地址的流量必须提示输入它们的凭据。
根据你的网络,你可能需要在FSSO收集器代理中配置高级设置。
Citrix服务器支持FSSO。通过TS代理模式,服务器可以实时监控用户登录情况。TS代理类似于DC代理,它还需要收集器代理来收集登录事件并将其发送到FortiGate。然后,它使用相同的端口向收集器代理报告登录信息。
如果每个用户都有自己的IP地址,收集器代理本身只能从Citrix服务器获得准确的登录事件。否则,如果多个用户共享同一个IP地址,则需要TS代理向收集器代理报告分配给该用户的用户、IP地址和源端口范围。TS代理无法将日志直接转发到FortiGate,需要先由采集器收集日志。这不能用于FortiGate的轮询。
配置为基于RADIUS的计费系统的RADIUS服务器可以通过向收集器代理发送计费消息来与你的网络进行交互。FSSO收集器代理还支持与syslog服务器集成,实现同样的目的。
FSSO收集器代理还可以监视Microsoft Exchange服务器,当用户使用他们的域帐户访问他们的电子邮件时,这很有用。
对于Windows安全事件日志轮询模式,你可以在这里配置事件ID轮询。有关具体的事件id,请访问Fortinet知识库(http://kb.fortinet.com)。
答案:B
答案:A
现在,你了解了如何在FortiGate和FSSO收集器代理上配置SSO设置。接下来,你将了解一些基本的故障排除选项。
完成本节后,你应该能够实现本幻灯片上显示的目标。
通过展示FSSO监视和故障排除的能力,你将能够预防、识别和解决与FSSO相关的常见问题。
与FSSO相关的日志消息来源于认证事件。这些事件包括用户登录和注销事件,以及NTLM身份验证事件。这些日志消息是网络会计策略的核心,也可以用于故障排除问题。
要确保记录所需的所有事件,请将最低日志级别设置为“通知”或“信息”。防火墙日志记录要求将Notification作为最低日志级别。日志级别越接近Debug级别,记录的信息越多。
在对基于FSSO代理的部署进行故障排除时,你可能希望查看直接在FSSO收集器代理上生成的日志消息。
FSSO收集器代理的Logging部分允许以下配置:
● 日志级别:选择日志信息的最低级别。包括这些级别:
● Debug:最详细的日志级别。在积极解决问题时使用它。
● 信息:包括登录事件和工作站检查的详细信息。这是大多数故障排除的推荐级别。
● 警告:默认级别。它提供有关故障的信息。
● 错误:只列出最严重的事件。
● 日志文件大小限制(MB):日志文件的最大大小,以MB为单位,默认为10。
● 查看日志:查看所有FSSO代理的日志。
● 独立日志登录事件:将用户登录相关的信息与其他日志分开记录。日志内容包括:从DC代理接收到的数据、用户登录/注销信息、工作站IP变更信息、发送到FortiGate设备的数据。选中后,从FortiGate发送和删除的事件摘要将在“视图登录事件”下列出,而所有其他信息将保留在“视图日志”下。
● 查看登录事件:开启“日志登录事件”功能后,可查看用户登录相关信息。
从以下提示开始,这些提示在许多FSSO故障排除情况下是有用的:
● FSSO有许多必需的端口,必须允许它们通过所有防火墙,否则连接将会失败。这些端口包括:139(工作站验证)、445(工作站验证和事件日志轮询)、389 (LDAP)以及445和636 (LDAPS)。
● 配置FortiGate和域控制器之间的流量整形,以确保最小带宽始终可用。如果带宽不足,可能会导致一些FSSO信息无法到达FortiGate。
● 在全windows环境中,刷新不活动会话。否则,你可以将未通过身份验证的机器的会话作为经过身份验证的用户发出。如果经过身份验证的用户的DHCP租期到期,收集器代理能够验证用户确实已注销,就会发生这种情况。
● 确保DNS配置正确,并在工作站IP地址变更时更新IP地址。
● 永远不要将工作站验证间隔设置为0。这可以防止收集器代理老化过时的条目。它们只能通过覆盖它们的新事件来删除。在FSSO和非FSSO用户共享同一个DHCP池的环境中,这可能特别危险。
● 当只使用被动认证时,在策略中包含来宾用户组,并给予他们访问权限。将组与安全策略关联。如果你使用活动身份验证作为备份,请确保没有将SSO_Guest_User添加到策略中。SSO_Guest_User与active鉴权互斥。
如果应用上一张图片中的技巧不能解决FSSO问题,你可能需要应用一些调试命令。
需要查询当前登录的FSSO用户列表,可以使用CLI命令 diagnose debug authd fsso list。
对于每个用户、用户名、用户组、IP地址和他们登录时所使用的工作站的名称都会显示出来。“Memberof”区域展示了在防火墙上创建的AD组映射到的组。同一组应该显示在GUI上的User组屏幕上。
此外,使用execute fsso refresh来使用收集器代理从连接到FortiGate的任何目录服务服务器手动刷新用户组信息。
使用CLI命令diagnose debug authd fsso server-status可以查看FortiGate与各收集器代理的通信状态。
但是,在使用该命令之前,必须先运行diagnostic debug enable命令。
此外,diagnostic debug authd fsso下还提供一些命令,用于清除所有当前登录用户的FortiGate缓存、过滤显示登录用户列表、刷新登录和用户组信息。
命令诊断调试fsso-polling detail显示状态信息和一些与FortiGate在无代理轮询中对每个DC进行的轮询相关的统计信息。如果读取日志偏移量在增加,FortiGate连接并读取域控制器上的日志。如果读取日志偏移量在增加,但您没有获得任何登录事件,请检查组筛选器是否正确,并且域控制器正在创建正确的事件id。
命令diagnose debug fsso-polling refresh-user将刷新所有活动的信息它活跃用户。
在无代理轮询模式中,FortiGate经常轮询事件查看器以获取登录事件。你可以在端口445上嗅探此流量。
此外,还有一个特定的FortiGate守护进程来处理轮询模式。它是fssod守护进程。当需要开启无代理轮询模式的实时调试时,使用命令diagnose debug application fssod -1。
答案:A
答案:A
恭喜你!你已经学完了这一课。现在,你将回顾你在这一课中涉及的目标。
上图展示了你在这节课中涉及的目标。
通过掌握本课所涵盖的目标,你了解了如何使用FSSO,这样你的用户就不必每次访问不同的网络资源时都需要登录。
以上是关于教程篇(7.0) 06. FortiGate基础架构 & 单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4的主要内容,如果未能解决你的问题,请参考以下文章
教程篇(7.0) 01. FortiGate基础架构 & 路由 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 03. FortiGate基础架构 & 虚拟域(VDOM) ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 08. FortiGate基础架构 & 诊断 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 07. FortiGate基础架构 & 高可用性(HA) ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 04. FortiGate基础架构 & 二层交换 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 ❀ Fortinet 网络安全专家 NSE 4