Kết nối với AD để bắt log truy cập theo username

Kết nối Fortigate với AD 2012, để bắt log truy cập theo username máy tính thay vì IP.

Mô hình:

Ta tạo LACP và đặt sub-interface trên firewall như trong bài cấu hình LACP.

https://hainguyenit.edubit.vn/blog/cau-hinh-lacp-giua-fortigate-va-switch-cisco

Mở policy để Win và AD thông nhau, ví dụ như dưới:

Ping thử từ AD và PC sang nhau xem ok chưa.

Trên AD: ta tạo domain ví dụ

- hainm.local, user: administrator.

- Tạo thêm user hai1 để login test từ PC Win

- Trên PC-Win thực hiện join domain hainm.local

Để tích hợp Firewall với AD :

Bấm vào Test Connectivity

Bấm tiếp như dưới để chọn các user nào được truy cập mạng, ở đây đang chọn ALL user của domain

Kết quả được như này

Sau đó ta tạo user hai1 để lát nữa cho vào rule , bằng cách lấy thông tin từ AD

Chọn LDAP User và next next ra đoạn này, ta chọn user cần thêm

Được danh sách user như này là OK

Vào tiếp rule truy cập internet trên FGT, ví dụ của tôi là rule dưới:

Kích vào rule đó và chọn edit để thêm source user như dưới:

Ấn vào dấu cộng, sau đó select user

Chọn user hai1 hoặc hai2 tùy ý:

Được như này

Trên PC đã join miền hainm.local, thử truy cập web vnexpress.net, thấy hiện ra cửa sổ xác thực

Sau khi nhập username và pass  thì vào mạng OK

Trong log hiện user đi kèm với IP