验证篇(7.0) 08. FSSO单点登录（下） ❀ 飞塔 (Fortinet) 防火墙

Posted 2022-05-09 meigang2012

　　【简介】除了DC代理模式以外，我们还可以Fortinet单点登录连接下使用轮询模式。

---

  卸载DC代理

　　如果我们要使用基于收集器代理的轮询模式，需要先卸载DC代理，或安装收集器代理时不安装DC代理。

　　① 在域服务器中，点击左下角启动菜单，选择【Fortinet】-【Uninstall DC Agent】。

　　② 默认钩选域控制器，点击【下一步】。

　　③ DC代理删除后，需要重启域控制器，点击【是】，域服务器重启。

  FSSO代理配置

　　FSSO代理配置决定我们是使用DC代理还是使有轮询模式。

　　① 打开FSSO代理配置，点击【Show Monitored DCs】。

　　② 显示DC代理状态，点击【Select DC to Monitor...】。

　　③ 选择工作模式为【Polling Mode】，将进入基于收集器代理的轮询模式。与DC代理模式一样，基于收集器代理模式需要在Windows服务器上安装一个收集器代理，而不需要在每个DC上安装DC代理。基于收集器代理的轮询方式需要比DC代理更强大，并且在没有登录事件的情况下会产生不必要的流量。

　　Windows事件日志轮询是最常用的轮询方式，收集器代理通过SMB (TCP端口445)协议定期向域控制器请求事件日志。其他方法可能以不同的方式收集信息，但是在收集器代理接收到登录后，收集器代理解析数据并构建用户登录数据库，该数据库由用户名、工作站名/IP地址和用户组成员关系组成。然后，这些信息就可以发送到FortiGate了。

　　基于收集器代理的轮询模式有三种方法(或选项)收集登录信息：

　　● NetAPI：在用户登录或注销时轮询DC上创建的临时会话，并调用Windows下的NetSessionEnum函数。它比WinSec和WMI方法快；然而，如果DC处于沉重的系统负载下，它可能会错过一些登录事件。这是因为在代理有机会轮询和通知FortiGate之前，会话可以快速地从RAM中创建和清除。

　　● WinSecLog：轮询DC中的所有安全事件日志。它不会错过DC记录的任何登录事件，因为事件通常不会从日志中删除。如果网络很大，FortiGate在接收事件时可能会有一些延迟，因此写入日志的速度会很慢。还要求在Windows安全日志中记录特定事件ID的审计成功情况。

　　● WMI：是一个从Windows服务器获取系统信息的Windows API。DC返回所有请求的登录事件。收集器代理是一个WMI客户机，并将有关用户登录事件的WMI查询发送到DC，在本例中，DC是一个WMI服务器。收集器代理不需要在DC上搜索用户登录事件的安全事件日志；相反，DC返回所有请求的登录事件。这减少了收集器代理和直流之间的网络负载。

　　④ 点击【Refresh Now】，可以看到活动DC代理，注意IP址一定要是正确的地址，如果服务器有多块网卡多个地址，可以先禁用其它网卡，直到得到正确的IP地址。

　　⑤ 点击【Apply】使配置生效。

  防火墙修改配置

　　我们修改原有的基于DC代理的配置，变更成基于收集器代理的轮询模式。

　　① 首先我们要配置LDAP服务器，需要用到域服务器的管理员帐号，其它帐号权限不够，会造成FSSO单点登录连接器连接不成功。

　　② 选择菜单【Security Fabric】-【外部连接器】，选择上篇文章建立的Fortinet单点登录连接器，点击【编辑】。

　　③ 在用户组源，选择【本地】。

　　④ 选择我们前面建好的LDAP服务器，点击【编辑】。

　　⑤ 选择并添加组，点击【确认】。

　　⑥ 用户/组边上的数字表示选择了多少个组或用户。

　　⑦ 返回外部连接器窗口，确保Fortinet单点登录的状态是绿色向上箭头，表示连接成功。

　　⑧ 选择【用户与认证】-【用户组】，我们可以看到前面建立的OldMei-FSSO用户组，成员已经为空，选择用户组，点击【编辑】。

　　⑨ 将Fortinet单点登录里选择的组，加入用户组。修改完成。

  验证

　　我们来看看同样是基于收集器代理，DC代理模式和轮询模式到底有什么不同。

　　① 这次我们用张三帐号登录。

　　② 收集器代理得到用户登录信息。

　　③ 防火墙用diagnose debug authd fsso list命令查持FSSO用户列表，可以看到有张三的信息。

　　④ 在防火墙用户监控器窗口，也可以看到张三的帐号信息。说明基于收集器代理的轮询模式也是可以正常工作的。那到底是轮询模式好还是DC代理模式好，就要看实际大量用户情况下的使用对比了。

---