Bir önceki makalemde FortiAuthenticator’ın ne olduğunu ve nasıl LDAP ve Radius bağlantısı yapılabileceğini anlatmıştım. Buradan ulaşabilirsiniz.
Bu makalemde de FortiAuthenticator üzerinde nasıl User Group ve Remote User Sync Rules oluşturulur bunu anlatacağım.
FortiAuthenticator’da User Group Oluşturma
Öncelikle GUI’de “Authentication” altında bulunan “User Management” sekmesinde “User Groups” a tıklıyoruz.
Resim-1
Sol üste bulunan “Create New” ile grup oluşturmaya başlayabiliriz.
Burada LDAP üzerinden çekeceğimiz grubuna öncelikle isim veriyoruz. Sonrasında grupları LDAP’tan çekeceğim için Group Type’ı Remote LDAP olarak belirtip, user’ları belirli bir LDAP filtresi ile mi yoksa manual olarak mı seçmek istediğimi belirtiyorum. Ben bu seferlik manuel olarak seçeceğim. Bundan kaynaklı “Set a list of imported remote LDAP users” seçip, tüm LDAP kullanıcılarını görüntülüyorum. Ve burda istediğim kulanıcıları seçip, sağ tarafa aktarıp oluşturduğum manuel user grubunu kaydediyorum.
Resim-2
Oluşturduğum bu gruba Fortigate üzerinden de bazı yetkilendirmeler yapacağım için tekrardan editleyip, Radius Attribute tanımlarını oluşturmam gerekiyor. Kaydedip tekrardan düzenle dediğimde “User Group” sayfasının altında artık Radius Attributes ekleyebileceğimiz bölüm aktif olmuş durumda. Burada “Add Attribute” diyip,
Resim-3
Benim kullandığım Firewall ürünü Fortinet olduğu için Vendor’u Fortinet, çekmek istediğim Attribute ID – Fortinet-Group-Name olarak belirtiyorum. Ve kendime göre bir değer veriyorum. Ben grup ismiyle aynı value verdim. Bu Attribute’u aynı şekilde Firewall’a da tanıtmamız gerekecek. Bu grup için “Remote Sync User Group” oluşturmadığım için yalnızca manuel olarak eklediğim kullanıcılar bu grupta kalacaktır.
Resim-4
Şimdi de oluşturduğum bu grubun kullanıcılarını manuel olarak değil de LDAP üzerinde mevcut gruba her kullanıcı eklendiğinde otomatik olarak çeksin o gruptaki kullanıcılar ile aynı erişim yetkilerine sahip olsun diye “Remote User Sync Rules” nasıl yazabiliriz ona bakalım.
Sync Rules için yine “User Management”ın altında bulunan “Remote User Sync Rules”a geliyoruz.
Resim-5
Sol üstte bulunan Create New” ile yeni sync rule tanımlarını yapmaya başlayabiliriz.
Öncelikle bu Rule’a bir isim vererek başlıyoruz. Sonrasında LDAP olarak daha önce tanımını yaptığımız LDAP Server’ı seçiyoruz. “Base distinguish name” ve “LDAP Filter” alanlarından serverdan çekeceğimiz kulllanıcı alanlarına göre gerekli filtremeyi yapalım.
“Token-base authentication sync priorities” bölümünden de 2 Factor Authentication’ı hangi yolla yapmak istediğimizi belirtelim. Ben SMS olarak seçtim.
“Sync Every” yazan yerde ne kadar süre ile bu kullanıcı gruplarını sync etmesini istediğimi belirttim.
“Sync as” kısmını nereden sync etmesi gerektiğini yani “Remote LDAP User” olarak belirttim. Bu çekilen userların hangi role ile gelmesini istediğimi belirttiyorum. Ben testleri kendi üzerimde yaptığım ve admin olduğum için Administrator tarafında bıraktım. Diğer kulanıcılar için User olarak seçilmesi gerekir.
Sonrasında bu sync kuralını hangi grup ile eşleştirmek istediğimi seçiyorum. Buradan az önce oluşturduğum Auth_Asli grubunu seçiyorum ve mevcut sertifikamız varsa onu ekliyorum.
Resim-6
Sayfanın alt kısmında LDAP üzerinden çekmek istediğimiz Attibuteları belirleyip kaydedelim.
Resim-7
Böylece LDAP server’da artık gruba eklenen her kullanıcı otomatik olarak FortiAuthenticator tarafında çekilmiş olacaktır. Ancak belirli süreler ile sync olsun diye ayar yaptığımız için acil durumlarda yine aynı sayfada sol üste bulunan “Manuel Sync” seçeneği ile sync etmek istediğimiz grubu seçip synci hemen aktif edebiliriz.
Resim-8
Umarım faydalı olmuştur.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
