Fortigate: Validación de usuarios contra Active Directory en portal cautivo Fortigate: Validación de usuarios contra Active Directory en portal cautivo
Sí contamos en nuestra infraestructura con un controlador de dominio donde se centraliza toda la infraestructura de usuarios y permisos, podemos enlazar el firewall Fortigate al... Fortigate: Validación de usuarios contra Active Directory en portal cautivo
Sí contamos en nuestra infraestructura con un controlador de dominio donde se centraliza toda la infraestructura de usuarios y permisos, podemos enlazar el firewall Fortigate al directorio activo para que realice la validación de las credenciales de usuario contra el AD. Esto es útil por ejemplo para el acceso SSL/VPN o simplemente para montar un portal cautivo para dar acceso a Internet a los empleados a través de wifi sin tener que estar dando contraseñas y gestionando permisos. El Forti se encargara de todo mediante la validación contra el dominio. 
Partimos del siguiente escenario. Tenemos un Windows Server 2008R2 donde hemos creado varias unidades organizativas de usuarios, distinguiendo entre N1 y N2. N1 no tendrá acceso VPN y N2 si, ambos tendrán acceso a la red wireless para acceso a Internet a través del portal cautivo. 
Imagen 


Lo primero que necesitamos para acceder al AD mediante el Fortigate es un usuario con permisos de lectura del árbol del directorio. Para ello en la OU=Especiales hemos creado un usuario para la comunicación entre ellos. 
Para la configuración necesitaremos la ip del servidor de active directory, el usuario y el DN de la unidad organizativa de usuarios. 
El nombre en formato LDIF de la unidad organizativa queda como sigue: 
ou=usuarios,dc=ad,dc=3pir,dc=com 
Siendo el nombre del dominio ad.3pir.com y la unidad organizativa de usuarios OU=usuarios. 
Configurar la validación contra AD en Fortigate 
Bien, con esta información vamos al Forti y realizamos la configuración en el menú que podemos ver en la siguiente imagen: 
Imagen 
Una vez dentro del menú, creamos un nuevo servidor LDAP y introducimos los datos anteriores: 
Imagen 
Como vemos en la imagen superior, apuntamos al servidor de Active Directory en la ip 192.168.192.200, utilizando el puerto 389 (en este caso usamos el puerto NO seguro, en otros artículos veremos como configurar LDAPs en un directorio Windows). 
SAMAccountName identifica al nombre de usuario en el directorio de Windows, para otros tipos de LDAP habría que cambiar este parámetro. 
Distinguished Name pondemos el objeto al cual consultamos, en este caso: 
ou=usuarios,dc=ad,dc=3pir,dc=com 
User DN y Password son las credenciales que hemos creado en el dominio para poder consultar el directorio. 
Una vez rellenados todos los datos mencionados podemos comprobar que la conexión se realiza correctamente, para ello pulsamos en Test y nos ha de validar correctamente: 
Imagen 
Ahora tenemos que crear los grupos de usuarios en el Forti, para ello nos dirigimos a: 
Imagen 
Y creamos un nuevo grupo en el Firewall: 
Imagen 
En remote groups, elegimos el servidor LDAP y seleccionamos toda la OU para que coja todos los usuairos de esa unidad organizativa. 
Probando la validación contra AD 
Para comprobar la validación vamos a utilizar el Fotigate como portal cautivo para la validación de usuarios al conectarse a una red Wifi, en el entorno de pruebas, realizaremos esto con una interfaz virtual conectada al port2 y al mismo segmento de red que un windows 7 que hará de cliente. 
Veamos la configuración de la interfaz en el Fortigate: 
Imagen 
Configuramos el puerto en una red privada 192.168.100.0/24 siendo la pata del firewall la 192.168.100.1/24 y a su vez el servidor DHCP para esa red que asigna direcciones desde la 192.168.100.100 a 192.168.100.150. 
Ahora arrancamos la VM de Windows 7 que previamente hemos configurado la interfaz de red en el mismo LAN Segment que la interfaz «port2» del Firewall: 
Imagen 
Nada más arrancar Windows debe darnos una ip del rango del DHCP que asigna el Forti: 
Imagen 
Comprobamos que así es y que tenemos ping con el firewall además de conexión a Internet. 
Ahora habilitamos el portal cautivo en el Fortigate para que pida validación de usuario antes de poder acceder a la red. Para ello sobre la misma interfaz «port2» habilitamos la restricción de seguridad: 
Imagen 
Captive Portal en modo local (el Fortigate hace de portal cautivo en local, también se podría configurar un portal externo) y restringido al grupo de usuario de AD que creamos anteriormente AD_USERS. 
Hecho esto toca confirmar que todo esto funciona, entramos en el Windows 7 y probamos a navegar por cualquier página, nos ha de salir el portal de validación: 
Imagen 
Introducimos las credenciales de un usuario del dominio y accedemos a Internet sin mayor problema: 
Imagen 
En este caso estamos permitiendo la validación a todos los usuarios de la rama del dominio que hemos configurado, pero sería interesante crear un grupo de determinados usuarios para por ejemplo un acceso VPN/SSL. Para ello creamos un grupo de seguridad en el dominio que contenga estos usuarios: 
Imagen 
En este caso el grupo Acceso_VPN tiene como miembros a los dos usuarios que se muestran en la imagen, por tanto si creamos un nuevo grupo en el firewall cuya DN sea ese grupo, solo esos usuario tendrán privilegios de acceso. Vamos a probarlo sobre el mismo portal cautivo: 
Creamos el grupo en el firewall: 
Imagen 
Cambiamos el grupo de autenticación en la interfaz que hace de portal cautivo: 
Imagen 
Vamos a probar con un usuario que no este incluido en ese grupo: 
Imagen 
No deja entrar, da un mensaje de autenticación fallida: 
Imagen 
Por el contrario si usamos un usuario que sí esta incluido en el grupo (prueban2) podemos navegar de nuevo sin problemas. En el firewall podemos ver los usuarios que han sido autenticasdos, para ello nos dirigimos a: 
Imagen 
Podemos comprobar que efectivamente el usuario prueban2 esta autenticado en el firewall: 
Imagen 
En próximas entradas veremos como utilizar esto para configurar una acceso VPN/SSL que valide a los usuarios contra el dominio y el grupo correspondiente. 

gpinero

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies