Ci-dessous la procédure à suivre afin de mettre en place la solution FSSO (Fortinet Single Sign-On) via l'agent FortiClient sur le poste utilisateur et le FortiAuthenticator (FAC) pour récupérer l'information IP/User pour d'effectuer du filtrage identitaire sur vos règles de firewall.
Procédure réalisée sur un FortiGate 101E en 7.0.12 , FortiAuthenticator (VM) en 6.5.3 et FortiClient/FortiCloud EMS en 7.2.4.
Des licences sont nécessaires :
FortiAuthenticator : FortiAuthenticator FortiClient SSO Mobility Agent License (licence par utilisateur)
FortiClient/FortiCloud EMS* : User-based licenses - VPN/ZTNA
*Vous pouvez remplacer FortiClient/FortiCloud EMS par l'agent gratuit FortiClient SSO Mobility Agent.
Schéma :
FortiCloud EMS descend la configuration FortiClient FSSO Mobility Agent sur le client installé sur le poste utilisateur,
Le FortiClient sur le poste utilisateur envoie les informations (IP, USER et NOM DU PC) au Fortiauthenticator (FAC) à travers le port TCP-8001,
Le FAC récupère la liste des utilisateurs présent dans les groupes déclarer dans Groups SSO via l’annuaire LDAP sur le port TCP-389,
Le FAC renvoie les informations récupérées par le FortiClient (Session SSO) et par l’annuaire LDAP (Groupes SSO) au FortiGate,
L’utilisateur émet une connexion vers un serveur par exemple,
Le FortiGate vérifie sa base afin de déterminer si la requête de l'utilisateur est légitime ou non,
Si la requête est légitime il autorise le flux.
FORTIAUTHENTICATOR :
Activer le module FortiClient SSO mobility agent et FortiGate FSSO sur le FortiAuthenticator (FAC).
Aller dans Fortinet SSO Methods --> SSO --> General,
Activer l’authentification pour la partie FortiGate et entrer une secret key (password),
Laisser le port par défaut d’écoute « 8000 ».
Activer le FortiClient SSO Mobility Agent Service et laisser le port par défaut « 8001 »,
Activer l’authentification et entrer une secret key (password).
Activer le service FSSO sur l’interface qui sera utilisé pour la communication entre le FortiClient et le FAC.
Aller dans System à Network --> Interfaces,
Sélectionner l’interface et cliquer sur Edit.
Activer FortiGate FSSO et FortiClient FSSO.
Ajouter votre serveur LDAP sur le FAC.
Aller dans Authentication --> Remote Auth. Servers --> LDAP,
Cliquer sur Create New.
Remplir les différents champs ci-dessous afin d’établir une connexion avec votre annuaire LDAP,
Name = Indiquer un nom,
Primary… = Indiquer l’ip de votre annuaire LDAP,
Port = Indiquer le port (LDAP – 389 | LDAPS – 636),
Base distinguished name = indiquer le chemin racine de votre annuaire LDAP (ex : dc=fne,dc=lan),
Bind type = Sélectionner Regular,
Username = Indiquer un compte aillant les droits de lecture sur votre annuaire sous le format users@domain.xx (ex : fneldap@fne.lan),
Password = Indiquer le password du compte ci-dessus.
Laisser les autres valeurs par défaut et cliquer sur Save.
Retourner sur l’LDAP créé à l’instant et cliquer ensuite sur Browse pour vérifier que la connexion est OK.
Si votre arborescence apparait la connexion est OK.
Nous allons maintenant mettre en place les groupes SSO qui seront utiliser pour effectuer le filtrage identitaire.
Aller dans Fortinet SSO Methods --> SSO --> SSO Groups,
Cliquer sur Import,
Sélectionner votre annuaire LDAP et cliquer sur Import .
Cocher les groupes à ajouter et cliquer sur Use Filter.
Les groupes apparaitront ensuite sur la page
FORTICLIENT :
Lancer ensuite l’application FortiClient, il y a aussi la possibilité de le faire avec FortiClient SSO Mobility Agent qui est gratuit, mais attention vous ne pouvez qu'avoir un seul agent Fortinet sur le PC, pas de cohabitation possible.
Aller dans les Paramètres et renseigner les informations suivantes,
Adresse du serveur = Renseigner l’adresse IP ou le nom DNS du FAC,
Port = 8001,
Clé partagée = Password indiqué sur le FAC pour FortiClient SSO Mobility Agent Service.
Si vous utilisez le FortiClient EMS.
Aller dans Endpoint Profiles --> System Settings, éditer votre profile et ajouter les informations dans la partie Other et cliquer sur Save.
Une fois cette action réalisée, nous pouvons retourner sur le FAC afin de valider que les sessions SSO remontent bien.
Aller dans Monitor à SSO --> SSO Sessions.
FORTIGATE :
Il faut maintenant redescendre ces informations au niveau du FortiGate qui appliquera le filtrage identitaire.
Aller dans Security Fabric --> External Connectors et cliquer sur Create New,
Sélectionner FSSO Agent on Windows AD.
Remplir les champs ci-dessous,
Name = Indiquer un nom,
Primary FSSO agent = Indiquer l’IP ou le nom DNS du Fortiauthenticator,
Password = Indiquer le password mis dans la partie FortiGate sur le FAC,
Cliquer sur Apply & Refresh.
Les groupes ajoutés dans la partie SSO Groups sur le FAC devrait être présents à ce niveau, vous pouvez cliquer sur View.
Afin de vérifier que les Sessions SSO remontent bien sur le FortiGate, il faut aller dans Dashboard --> Users & Devices --> Firewall Users.
Il ne manque plus qu’à mettre en place la règle de filtrage identitaire sur le FortiGate,
Aller dans Policy & Objects --> Firewall Policy et cliquer sur Create New.
Remplir les champs suivants et cliquer sur OK,
Name = Indiquer le nom de la règle de filtrage,
Incoming Interface = Indiquer l’interface d’entrée,
Outgoing Interface = Indiquer l’interface de sortie,
Source = Indiquer la(les) source(s)**,
Destination = Indiquer la(les) destination(s),
Service = Indiquer le(s) service(s),
Action = Indiquer l’action,
NAT = Activer ou Désactiver le NAT,
**Pour la partie Source il faut indiquer le réseau mais aussi l’User (Groupe FSSO).
Vérifier maintenant que votre règle match bien le flux en question.
Pour plus d'informations :