Giới thiệu tổng quan về cấu hình chứng thực FortiGate với LDAP/Active Directory

Để đảm bảo tính bảo mật cho quá trình xác thực người dùng và nhóm thông qua Active Directory, chúng ta sẽ triển khai giao thức LDAPS, một phiên bản an toàn của LDAP sử dụng giao thức SSL để mã hóa toàn bộ quá trình truyền dữ liệu.

Đầu tiên, chúng ta sẽ tạo một chứng chỉ cơ quan cấp chứng chỉ (CA) trên máy chủ Windows Server 2012. Chứng chỉ CA này sẽ đóng vai trò như một cơ quan trung tâm để cấp và quản lý các chứng chỉ khác, bao gồm cả chứng chỉ sẽ được sử dụng để mã hóa kết nối LDAPS. Sau khi tạo, chứng chỉ CA sẽ được xuất ra dưới dạng một file.

Tiếp theo, file chứng chỉ CA này sẽ được nhập vào thiết bị Firewall FortiGate. Việc nhập chứng chỉ CA vào FortiGate có ý nghĩa rất quan trọng vì nó cho phép FortiGate xác minh tính hợp lệ của các chứng chỉ khác được cấp bởi CA này. Khi FortiGate nhận được một yêu cầu kết nối LDAPS, nó sẽ kiểm tra xem chứng chỉ của máy chủ gửi yêu cầu có được cấp bởi CA mà FortiGate đã tin tưởng hay không.

Cuối cùng, chúng ta sẽ sẽ cấu hình FortiGate để sử dụng chứng chỉ CA vừa nhập cho các kết nối LDAPS. Bằng cách này, tất cả các giao tiếp giữa FortiGate và máy chủ Windows Server 2012 sẽ được mã hóa bằng SSL, đảm bảo  thông tin mật khẩu của người dùng được bảo vệ an toàn, tránh bị đánh cắp hoặc làm lộ.

Các bước cấu hình chứng thực FortiGate với Active Directory

Dịch vụ chứng chỉ Active Directory (AD CS) phải được cài đặt trong Windows Server 2012 của bạn.

Bước 1: Xuất chứng chỉ LDAPS trong Active Directory (AD)

Mở Command Prompt, chọn mmc và nhấn enter. Chọn File rồi nhấn vào Add/Remove Snap-in. Chọn Certificates rồi nhấn vào Add. Trong Certificates snap-in, chọn Computer account rồi ấn Next.

Trong Select Computer, nếu bạn đang làm việc tại máy chủ LDAP yêu cầu chứng chỉ, hãy chọn Local. Nếu không, hãy chọn Another computer và nhấn Browse để định vị máy chủ LDAP yêu cầu chứng chỉ. Sau khi chọn đúng máy tính, hãy chọn OK rồi nhấn Finish.

Trong bảng điều khiển, hãy mở rộng Chứng chỉ (<máy tính >). Trong bảng điều khiển chứng chỉ của máy tính có chứa chứng chỉ có thể được sử dụng để Ký chứng chỉ, hãy nhấn chuột phải vào chứng chỉ CA, nhấn vào All Tasks, rồi nhấn chọn Export.

Trên màn hình chào mừng của Certificate Export Wizard, hãy nhấn vào Next. Sau đó, trên màn hình Export Private Key, hãy chọn No, sau đó nhấn Next.

Trên màn hình Cerificate Export Wizard, chọn DER.

Trên màn hình File to Export, nhấn đường dẫn, tên tệp và phần mở rộng tệp .cer vào hộp File name rồi Next. Xác nhận cài đặt trên màn hình hoàn tất rồi nhấn vào Finish. Bạn sẽ thấy thông báo bật lên cho biết quá trình xuất đã thành công, chọn OK.

Bước 2: Nhập chứng chỉ LDAPS vào FortiGate

Vào System > Config > Features và chọn Certificates.

Vào System > Certificates và chọn Import > CA Certificate. Chọn Local PC và Choose File , sau đó duyệt đến file chứng chỉ và nhấn vào OK.

Bạn có thể đổi tên CA_Cert_1 do hệ thống tạo ra để mô tả rõ ràng hơn.

Ví dụ về CLI:

FGT # config vpn certificate ca

FGT (ca) # rename CA_Cert_1 to LDAPS-CA

FGT (ca) # end

Tên trong Chứng chỉ CA bên ngoài hiện hiển thị là LDAPS-CA.

Bước 3: Tạo đối tượng LDAPS Server trong FortiGate

User DN phải có quyền truy cập máy chủ.

Bước 4: Kết quả

Xác minh đối tượng Máy chủ LDAPS đang xác thực đúng. Trên FortiGate, hãy sử dụng lệnh diagnostic sau để kiểm tra xác thực với máy chủ LDAPS. Khi bạn nhập lệnh, hãy sử dụng tên người dùng và mật khẩu thực tế trên máy chủ LDAPS (ví dụ administrator và pa$$w0rd). Nếu mọi thứ được cấu hình đúng, đầu ra lệnh sẽ hiện xác thực đã thành công đồng thời liệt kê các User Group..

FGT # diagnose test authserver ldap LDAPS administrator pa$$w0rd

authenticate ‘administrator’ against ‘LDAPS’ succeeded!

Group membership(s) – CN=Domain Admins,CN=Users,DC=fortinet,DC=local

                      CN=Administrators,CN=Builtin,DC=fortinet,DC=local

                      CN=Domain Users,CN=Users,DC=fortinet,DC=local

Tổng kết

Như vậy, chúng ta đã cùng nhau thực hiện các bước cấu hình chứng thực FortiGate với LDAP/Active Directory. Sau khi đã cấu hình thành công, bạn có thể tiến hành tùy chỉnh các chính sách truy cập dựa trên nhóm người dùng, ứng dụng các tính năng nâng cao của FortiGate như Single Sign-On (SSO) để nâng cao trải nghiệm người dùng. Việt Tuấn hi vọng bạn đọc có thể thực hiện thành công.