FortiOSGuías técnicas

VPNs autenticadas con OpenLDAP FortiOS 6.2

Para poder autenticarse en un equipo Fortinet mediante OpenLDAP el procedimiento es el mismo que para un Directorio Activo de Microsoft con pequeños matices

A la hora de definir un directorio OpenLADP cada administrador puede definir ciertos identificadores de campos a la hora de su creación, en este caso vamos a utilizar aquellos identificadores que consideramos mayormente utilizados. Es aconsejable robar 10 minutos al compañero que lleve el LDAP para que nos ayude con los identificadores concretos que están definidos en nuestro directorio

Crear un conector a nuestro OpenLDAP

En el menú “User & Device”, elegimos el submenú “LDAP Servers” y finalmente pulsamos en “Create New” para rellenar la siguiente información

Nombre: Es un nombre descriptivo, por ejemplo, “Mi-LDAP”

Server IP: Es la dirección IP de nuestro servidor, debemos estar seguros que desde el FW se llega al servidor, por ejemplo, con el comando “#execute ping x.x.x.x”

Server Port: El puerto por defecto es el “389” aunque podría ser una comunicación cifrada y requerir un certificado para autenticarnos

Common Name Identifier: Aquí está la clave, al igual que en Directorio Activo utilizamos el identificador estándar “sAMAccountName”, en OpenLDAP lo habitual es utilizar “uid”

Distinguished Name: Lo mejor es pulsar en el botón “Browse” para elegir el contenedor de nuestros usuarios, si queremos todos los que existan, simplemente pondremos el CN de nuestro dominio, por ejemplo, “dc=Linux,dc=local”

Bind Type: También depende de cómo esté implementado, lo normal será “Simple” aunque podría requerir de un usuario para consultas, entonces, elegir “Regular”

Antes de aceptar, podemos probar la conectividad con el botón “Test Connectivity” y la validación de usuarios con “Test User Credentials”

 

Si ambas pruebas funcionan, ya podemos seguir sin el apoyo del administrador de OpenLDAP

Crear grupos de usuarios en el Firewall

En FortiOS es necesario definir los grupos de usuario que vamos a querer utilizar para cualquiera de los siguientes propósitos

–       Políticas autenticadas

–       VPNs DialUp-IPSec

–       VPNs SSL

Estos grupos son necesarios porque en un grupo de usuarios del Firewall podríamos incluir varios grupos de usuarios del LDAP e incluso usuarios independientes

Seguimos en el menú “User & Devices” pero ahora nos vamos al submenú “User Groups” y pulsamos en “Create New”

Name: Es un nombre descriptivo

Members: Sería para agregar de uno en uno los usuarios (requiere configuración previa) pero lo normal es dar permisos a un grupo tal y como se muestra en la captura

Pre-requisitos para VPN

Esta parte nos permite hacer VPN sin ningún tipo de software instalado en el PC origen (VPN SSL) así como configurar VPN IPSec con nuestro agente software “FortiClient”

  • ) Acceso al Firewall desde Internet

Necesitamos tener en el firewall de forma directa (IP Pública) o indirecta (NAT) una dirección IP accesible desde Internet a donde poder conectarnos. Como consejo, no deberíamos mezclar el interface de gestión con el interface de conexión VPN

  • ) Direccionamiento privado VPN

Cuando se vayan a conectar nuestros usuarios, el firewall les va a asignar una dirección IP “privada” durante el tiempo que estén conectados, por defecto, el firewall ya tiene creado un rango de red para este propósito. Podemos utilizar el rango predeterminado “SSLVPN_TUNNEL_ADDR1” o crear un rango propio en “Policy & Objects” -> “Addresses”

Posibles usos

A partir de este momento, ya podremos crear políticas autenticadas con nuestros usuarios. Aquí cabe destacar que una política autenticada requiere un direccionamiento con lo que permitimos a ciertos usuarios desde ciertas direcciones IP. En el caso de un acceso remoto por VPN lo normal es que la dirección IP que usemos como origen sea “All”

También podríamos configurar, siguiendo los pasos habituales, las VPN tanto IPSec para utilizarla con FortiClient como la VPN SSL para utilizarla desde cualquier navegador

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *