
Merhaba, birkaç yazı serimde Fortinet firmasının 2FA ürünü olan FortiAuthenticator ürününden bahsedeceğim.
Örneğin; Active Directory üzerinde VPN gruplarınız var ve bu gruplardaki kullanıcıları FortiAuthenticator ile belirli bir gruba çekip, o gruptaki kullanıcılara Token atamak, SMS göndermek yolu ile 2FA yaptırmak istiyorsunuz.
Bu yazımda bu yapılandırmanın ilk işlemlerinden biri olan FortiAuthenticator üzerinde AD (Active Directory) kullanıcılarının Grup olarak çekilme işlemini anlatacağım.
FortiAuthenticator’da Active Directory Kullanıcıları Grup Olarak Nasıl Atanır ?
İlk olarak FortiAuthenticator ile LDAP bağlantımızı sağlamamız ve erişimimizin olduğunu kontrol etmemiz gerekiyor.
Grup çekme yetkisi olacak bir kullanıcı oluşturarak bağlantımı test ediyorum.
fortiauthenticator isimli kullanıcım ile test işlemimi gerçekleştiriyorum. Browse butonuna tıklayarak “CN=” kısımlarının geldiğini görerek bağlantı sağlandığını görüyoruz.
Test işlemimizi gerçekleştirdikten sonra AD bağlantısı ile çekeceğim kullanıcılarım için bir grup oluşturuyorum. (Test_KullaniciGrup)
Bu grup işleminden sonra SYNC Rule yazarak oluşturacağım grubuma kullanıcıları çekeceğim.
İlk olarak grubumuzu oluşturuyoruz.
- LDAP filter : (&(objectClass=user)(memberOf=CN=AD_UZERINDEKI_CN_YOLUNUZ)) şeklinde giriyoruz
- Test Filter ile kullanıcıların çekildiğini görebiliriz.
- Şuan OTP olarak FortiToken Mobile yöntemi ile gideceğimizden dolayı ben bu özelliği seçtim.
- Attributes’lerin AD ile aynı olmasına, telefon numaraları girili ise +90 şeklinde girilip girilmediğine dikkat etmeliyiz.
- OK butonuna tıkladıktan sonra CN yolundaki grupların TESTGROUP (Not:Test_KullaniciGrup ismi TESTGROUP olarak değiştirildi) isimli grubumuza atandığını görebiliriz.
- Daha sonra Remote User Sync Rules kısmına gelerek Manual Sync butonuna tıklayarak Rule’umuzu Sync yapıyoruz.
- test1 ve test1 kullanıcılarımızın Manuel Sync sonrasında Remote User menüsüne geldiğini görüyoruz.
- Yukarıdaki işlem sonrasında test1 ve test2 kullanıcılarının AD üzerindeki mail adreslerine Mobile Token için mail gönderildi.
- Not: Mail gönderme işleminin olması için aşağıdaki SMTP ve Sertifika ayarlarının yapılandırılması gerekiyor.
FortiAuthenticator SMTP ve Sertifika Ayarları
Tokenların mail olarak gönderilmesi için SMTP ayarlarının yapılması ve Trusted Sertifika import edilmesi gerekiyor.
- İlk olarak oluşturduğumuz sertifikayı Certificate Management-Trusted CAs kısmından Import ediyoruz.
- SMTP Servers menüsünden – SMTP ayarlarını yapılandırarak test mailimizi gönderiyoruz.
- Mobile token’ı telefonunuza nasıl entegre edeceğiniz ile ilgili işlemleri FortiToken Mobile ile Two Factor SSL VPN başlıklı yazımdan okuyabilirsiniz.
Bu yazımızda kısaca yaptığımız işlemler;
- FortiAuthenticator ile LDAP bağlantısı
- SYNC Rule sonrası kullanıcıları atacayacağımız GRUP oluşturulması
- SYNC Rule işlemi yapılarak kullanıcıların Grubumuza atanması
- Manuel SYNC sonrası Mobile tokenların kullanıcılara atanması
Bir sonraki yazılarımda kullanıcıların VPN yapılandırması örneği ile Token işleminin yapılmasını anlattım. Buradan ulaşabilirsiniz.
Yazılarımdan ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.
Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.
Sağlıklı ve Güvenli Günler Dilerim.
Comments (2)
Fatmasays:
Aralık 5, 2022 at 1:23 pmMerhaba, bu fortinin hangi sürümü? Bende grup oluştururken Remote LDAP secenegi gelmiyor
Erdinç Tandoğansays:
Aralık 5, 2022 at 9:52 pmMerhaba. FortiAuthenticator 6.4.6 sürümü.