Hướng dẫn cấu hình LDAP Server trên Firewall Fortigate

Trong bài viết này, Mình sẽ hướng dẫn các bạn cấu hình LDAP trên firewall Fortigate để ánh xạ người dùng hoặc nhóm người dùng trên AD server vào Fortigate.

LDAP là gì?

LDAP là viết tắt của Lightweight Directory Access Protocol, là một giao thức ứng dụng truy cập các cấu trúc thư mục. Một cấu trúc thư mục là một tập hợp các đối tượng có các thuộc tính hay đặc điểm tương tự và được sắp xếp theo logic thành nhiều cấp bậc.

Trong trường hợp của bài lab này, các bạn có thể hiểu đơn giản nó là các Group User và User trong đó. Fortigate sẽ kết nối tới LDAP Server và lấy thông tin về User và User Group và sử dụng cho các chính sách tường lửa hoặc kết nối VPN tùy theo nhu cầu sử dụng.

Mô hình Lab

Mình đang sử dụng 1 mô hình đơn giản gồm 1 firewall Fortigate, 1 server đang chạy windows server 2016, mình sẽ dựng LDAP server và tạo các user trên server này. Một máy tính bên dưới này để mình thử test xác thực với các user. Mình sẽ cấu hình trên Fortigate để lấy các user trên AD về, và sử dụng các user này để xác thực khi người dùng truy cập internet.

Tạo User và User Group trên Windows Server 2016

Trước tiên trên server mình sẽ tạo các user và user để xác thực cho Fortigate. Server này mình đã dựng sẵn 1 AD với domain là cnttshop.vn. Phần Build 1 AD này thì đơn giản thôi, các bạn chỉ cần vào Add role and features, add role là Active Directory Domain Services, sau đó cấu hình 1 New Forest Domain là được. Phần này trong bài Lab dựng radius server mình đã hướng dẫn rồi, các bạn có thể tham khảo lại nhé: Hướng dẫn build Radius Server trên Windows Server 2016.

Sau khi cài xong AD, các bạn vào Active Directory Users and Computers.

Phần tạo OU này là tùy theo nhu cầu của các bạn, các bạn có thể tạo nhiều OU lồng vào nhau theo cấu trúc dạng tree đều được. Mình sẽ chỉ tạo 1 OU chứa các User và User Group cho dễ nhìn. Các bạn kích chuột phải vào domain name, chọn New > Organizational Unit để add thêm 1 OU.

Tạo 1 OU với Name là CNTTSHOP.

Trong OU này mình sẽ tạo 2 User Group là Ky-Thuat và Kinh-Doanh. Các bạn kích chuột phải vào OU CNTTSHOP, chọn New > Group và nhập tên Group. Các bạn làm tương tự với 2 Group Ky-Thuat và Kinh-Doanh.

Tiếp theo mình sẽ tạo 4 User cho 2 Group để test xác thực. Kích chuột phải vào OU, chọn New > User. Mình sẽ tạo các user là tech1, tech2, sale1, sale2.

Sau đó add các user này vào group tương ứng. Kích chuột phải vào User và chọn Add to a group, gõ tên Group mà các bạn đã tạo ở trên. Các bạn làm tương tự với các User khác

Để kiểm tra thì các bạn kích đúp vào user group, chuyển sang tab Members. Các user được add vào group sẽ hiển thị ở đây. Các bạn cũng có thể nhấn Add và thêm các user vào group trong tab này.

Cấu hình LDAP Server trên Fortigate

Tiếp theo trên Fortigate mình sẽ cấu hình LDAP để lấy user về. Các bạn vào menu User & Authentication > LDAP Servers. Nhấn Create New để cấu hình LDAP Server.

Các bạn nhập các thông số của LDAP Server để kết nối:

• Server IP/Name: các bạn nhập địa chỉ IP của máy chủ mà các bạn đã cài AD lên.
• Server Port: để mặc định 389.
• Common Name Identifier: các bạn nhập giá trị sAMAccountName.
• Distinguished Name: thì cấu trúc của nó sẽ là DC= 2 giá trị trước và sau dấu chấm trong domain name. Ví dụ domain của mình là cnttshop.vn, thì giá trị ở đây sẽ là DC=cnttshop,DC=vn.
• Bind Type: chọn Regular.
• Username: các bạn nhập theo cấu trúc trong AD, đây là tài khoản admin có quyền quản trị AD. Cấu trúc tương tự như khi các bạn đăng nhập trên các PC đã Joint vào domain.
• Nhấn Test Connectivity, Status báo Successful là OK.

Sau khi kết nối LDAP thành công, các bạn vào menu User Groups để lấy các tài khoản về. Chọn Create New.

• Type: chọn Firewall.
• Chọn Add trong Remote Groups.

Chọn Remote Server là LDAP server mà các bạn vừa cấu hình. Fortigate sẽ liệt kê tất cả các group có trong AD.

Các bạn kích vào dấu +, Chọn OU là CNTTSHOP, ở đây có 2 User Group mà mình đã tạo trên server trước đó. Các bạn nhấn Add all Results để add toàn bộ group vào firewall, hoặc kích chuột phải vào Group rồi chọn Add Selected cũng được. Mình sẽ chia Group giống như trên AD, nên mình sẽ add từng group vào tương ứng với Group mà mình tạo trên Firewall. Tương tự các bạn tạo 1 Group với Ky-Thuat.

Tiếp theo các bạn vào menu User Definition, chọn Create New. User Type chọn Remote LDAP User, nhấn Next.

Chọn LDAP Server đã cấu hình, nhấn Next.

Trong phần này các bạn cũng chọn OU là CNTTSHOP đã tạo để loại bỏ các user không cần thiết. Sau đó add các user tương tự như với group, mình sẽ chọn Add All Results. Nhấn Submit.

Khi đó tất cả các User có trong OU mà các bạn đã tạo sẽ được thêm vào Firewall với Type là LDAP.

Quay lại menu User Groups và add các user này vào group tương ứng.

Như vậy là các bạn đã có thể sử dụng các user trong LDAP server để thiết lập các chính sách tường lửa hoặc sử dụng cho VPN.

Xác thực người dùng bằng User LDAP

Trong bài viết này thì mình sẽ test thử với các policy nhé. Còn VPN các bạn cũng chỉ cần thay user local bằng user LDAP thôi. Mình đang có 1 máy tính thuộc dải LAN, mình sẽ add các user LDAP vào trong policy cho phép dải LAN truy cập internet.

Các bạn Edit Policy muốn xác thực với tài khoản LDAP, và thêm user Group vào phần source của policy. Mình sẽ Edit policy mà người dùng trong LAN truy cập ra internet.

Bây giờ các PC khi truy cập Internet sẽ cần phải có 1 tài khoản thuộc LDAP. Đăng nhập đúng thì PC đó sẽ tiếp tục được truy cập. Yêu cầu đăng nhập này sẽ là bắt buộc cho mỗi lần máy tính khởi động, sau khi đăng nhập xong thì PC đó sẽ truy cập bình thường.

OK như vậy là mình đã hướng dẫn các bạn cấu hình LDAP trên Fortigate. Nếu các bạn có bất kỳ góp ý hay thắc mắc nào, hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!