Fortigate: VPN SSL com LDAP

Neste post vou demonstrar a configuração do firewall Fortigate com o controlador de domínio Microsoft, fazendo com que os usuários da VPN SSL se autentiquem com suas próprias contas de domínio. Faremos uso do Windows Server 2003.

Topologia utilizada para demonstrar as configurações.

fortigate_vpnssl_ldap_01

Primeiramente iremos configurar o servidor Windows Server, para que o Fortigate possa realizar queries na base LDAP.

Criaremos uma OU no Windows Server, que será utilizada pelo firewall.

fortigate_vpnssl_ldap_02

Neste exemplo a OU terá o nome “Fortigate”.

fortigate_vpnssl_ldap_03

Dentro desta OU criamos um usuário que será utilizado pelo firewall para realizar as queries no LDAP e um grupo onde permitirá o acesso dos usuários da VPN SSL.

Para nosso exemplo o usuário terá o nome “fortinet”.

fortigate_vpnssl_ldap_04

Para não termos problemas com as credencias, iremos configurar as opções abaixo.

fortigate_vpnssl_ldap_05

Basta avançar e pressionar em Concluir.

O próximo passo e criar um grupo onde os usuários pertencentes a ele possa conectar a VPN.

Para nosso exemplo o grupo terá o nome “VPN SSL”.

fortigate_vpnssl_ldap_07

Basta pressionar em Ok, e concluímos por hora a configuração no servidor Windows.

fortigate_vpnssl_ldap_08

Agora iremos configurar o firewall Fortigate para realizar para ter acesso a base LDAP do servidor Windows.

Para isso iremos acessar o menu abaixo.

fortigate_vpnssl_ldap_09

Iremos pressionar na opção Create New.

Será necessário informar alguns informações de domínio no formato LDAP.

fortigate_vpnssl_ldap_10

Pressionando em Test é possível validar a comunicação com o servidor Microsoft.

fortigate_vpnssl_ldap_11

A mesma configuração realizado no modo gráfico, poderia ser feita pela CLI através dos comandos abaixo.

config user ldap
edit “SRV_WS2003”
set server “10.40.0.10”
set cnid “sAMAccountName”
set dn “dc=home,dc=viniciusbueno,dc=com,dc=br”
set type regular
set username “cn=Fortinet LDAP,ou=Fortigate,dc=home,dc=viniciusbueno,dc=com,dc=br”
set password Pw_Fortigate_389
next
end

Para validarmos a integração com o servidor LDAP, iremos autenticar um usuário através do firewall.

Para isso é necessário através da CLI do firewall realizar o comando abaixo.

 diagnose test authserver ldap SRV_WS2003 fortinet Pw_Fortigate_389

fortigate_vpnssl_ldap_12

Como pode ser visualizado na imagem, a autenticação através do firewall ocorreu com sucesso.

O próximo passo é configurar a VPN SSL, no site já existe um post disponível no link.

Uma vez a VPN SSL configurada, iremos adicionar o grupo do AD “VPN SSL” no firewall, que será utilizado pelos usuários que terão acesso a VPN.

Para isso, navegue até o menu abaixo.

fortigate_vpnssl_ldap_13

Após pressionar na opção Create New, será necessário adicionar o servidor remoto LDAP.

fortigate_vpnssl_ldap_14

Reparem que para não deixar que todos (Any) os usuários do AD tivessem acesso, foi necessário restringir especificando o grupo “VPN SSL” através do parâmetro abaixo.

cn=VPN SSL,ou=Fortigate,dc=home,dc=viniciusbueno,dc=com,dc=br

Após isso pressione na opção “OK”. Não será necessário adicionar nenhum usuário local, pois iremos através do AD  adicionar o usuário “vbsilva” neste grupo.

Reparem que o usuário “vbsilva” foi adicionado ao grupo “VPN SSL”.

fortigate_vpnssl_ldap_15

O próximo passo é criar uma regra de firewall que permite acesso a este grupo VPN.

Para o nosso exemplo, foi criado o acesso abaixo, referenciando o grupo “VPNSSL_AD”.

fortigate_vpnssl_ldap_17

Agora iremos através da rede Externa testar a conectividade da VPN SSL fazendo uso do usuário “vbsilva”.

fortigate_vpnssl_ldap_18

Conexão estabelecida com sucesso!

fortigate_vpnssl_ldap_19

E assim finalizamos mais um post.

Tags: