پیکربندی Captive Portal در فایروال FortiGate
پیکربندی Captive Portal در فایروال FortiGate، در این مقاله قصد داریم به کاربرد و نحوه پیکربندی Captive Portal در فایروال FortiGate بپردازیم. در ابتدا به معرفی Captive Portal خواهیم پرداخت.
پیکربندی Captive Portal در فایروال FortiGate
فهرست مطالب
Captive Portal چیست
Captive Portal جهت اجرای احراز هویت قبل از دسترسی به منابع وب مورد استفاده قرار می گیرد. تا زمانی که احراز هویت کاربر با موفقیت انجام نشود، هر درخواست HTTP صفحه احراز هویت را برمی گرداند. پس از احراز هویت موفقیت آمیز، کاربر با توجه به سطح دسترسی معین شده در Policy ها می تواند به URL درخواستی و سایر منابع وب دسترسی داشته باشد. این امکان وجود دارد تا Captive Portal به اعضای گروه های خاص نیز اعمال گردد.
Captive Portal ها می توانند بر روی FortiGate یا یک سرور احراز هویت خارجی میزبانی شوند. این امکان وجود دارد تا این قابلیت روی هر اینترفیس، از جمله اینترفیس VLAN و WiFi نیز پیکربندی شود. در اینترفیس WiFi، دسترسی باز به نظر می رسد، و کلاینت می تواند بدون وارد نمودن رمز عبور به اکسس پوینت متصل شود، اما سپس صفحه احراز هویت Captive Portal را مشاهده خواهند نمود. تمامی کاربران می بایست احراز هویت نمایند اما لیست های استثنایی را می توان برای دستگاه هایی که قادر به احراز هویت نیستند ایجاد نمود، به عنوان مثال پرینتری که جهت بروز رسانی سیستم عامل نیاز به دسترسی به اینترنت دارد.
پیاده سازی Captive Portal
جهت دسترسی به تنظیمات مربوط به Captive Portal می بایست از منوی System گزینه Network و از زیر منوی مربوطه interfaces را انتخاب می کنیم. در تنظیمات هر یک از اینترفیس ها در فایروال FortiGate یک قسمت با عنوان Security Mode وجود دارد که تنظیمات Captive Portal در این قسمت قرار دارد. چنانچه Captive Portal را روی هر اینترفیسی پیاده سازی کنیم، کاربرانی که از طریق این اینترفیس قصد برقراری ارتباط با شبکه های دیگر را داشته باشند در ابتدا می بایست توسط نام کاربری و رمز عبور احراز هویت شوند. برای مثال کاربران شبکه داخلی چنانچه قصد برقراری ارتباط با اینترنت را داشته باشند می بایست در مرورگر ابتدا احراز هویت گردند. در این مقاله توپولوژی زیر را در نظر می گیریم.
در توپولوژی فوق کاربر ویندوزی در شبکه داخلی قصد دارد تا به واسطه Port2 فایروال FortiGate به اینترنت متصل شود. در چنین شرایطی می بایست Captive Portal را برروی Port2 فایروال فورتی گیت که به شبکه داخلی متصل می باشد پیکربندی نماییم. جهت ساخت کاربران از دو طریق می توان اقدام نمود.
- استفاده از دیتابیس داخلی FortiGate
- استفاده از دایرکتوری سرویس (LDAP)
در این مقاله قصد داریم از با بهره گیری از LDAP Server از کاربران درون اکتیو دایرکتوری جهت احراز هویت کاربران در فایروال FortiGate استفاده نماییم. به همین منظور می بایست درون اکتیو دایرکتوری یک گروه و یک حساب کاربری ایجاد نموده ایم تا بتوانیم از آن در فایروال فورتی گیت استفاده کنیم. در این مرحله می بایست ارتباط بین فایروال FortiGate و ویندوز سرور برقرار شود. به همین منظور در منوی User & Device گزینه Authentication و زیر منوی LDAP Server را انتخاب می کنیم. بر روی Create New کلیک و در پنجره باز شده در قسمت Name یک اسم در نظر می گیریم. در Server IP آدرس IP سرور LDAP را که در این سناریو 172.16.1.20 می باشد را وارد می نماییم. در قسمت پورت به صورت پیش فرض 389 در نظر گرفته شده است. Common Name Identifier برای ویندوز سرور sAMAccountName مقدار دهی می گردد. گزینه Distinguished Name نیز می بایست با توجه به تنظیمات ویندوز سرور از قسمت ADSI Edit مقداردهی گردد که در این سناریو DC=test,DC=local می باشد.
با انجام تنظیمات فوق ارتباط LDAP Server با فایروال FortiGate برقرار خواهد گردید. مرحله بعدی تعریف گروه در فایروال فورتی گیت می باشد تا بتوان از این گروه جهت پیکربندی Captive Portal استفاده نماییم. برای انجام این کار در منوی User & Device زیر منوی User گزینه User Groups را انتخاب می نماییم. بر روی Create New کلیک در پنجره باز شده در قسمت Name یک نام در نظر می گیریم. در قسمت Type گزینه Firewall را انتخاب نموده و برای انتخاب گروه در اکتیو دایرکتوری در قسمت Remote Groups بر روی Create New کلیک و با انتخاب سرور و گروه مورد نظر تنظیمات مربوط به گروه را به پایان می رسانیم.
چنانچه قصد داشته باشید کاربران را به صورت Local بر روی فایروال فورتی گیت ایجاد و استفاده نمایید این کار در قسمت User Definition قابل انجام می باشد. در مرحله بعدی می بایست تنظیمات Captive Portal را به اینترفیس مورد نظر اعمال نماییم. اینترفیس مورد نظر را ویرایش (Edit) نموده و در قسمت Security Mode گزینه Captive Portal را انتخاب می کنیم. گزینه Authentication Portal را بر روی Local قرار می دهیم و در قسمت User Groups گروه مورد نظر در اکتیو دایرکتوری را انتخاب می کنیم. در قسمت Exempt List می توان مشخص نمود که دسترسی برخی از کلاینت های مبدا بدون احراز هویت به اینترنت امکان پذیر باشد. همچنین با فعال نمودن گزینه Customize Portal Message می توان پیامی که به کاربر نمایش داده خواهد شد را شخصی سازی کنیم.
اکنون چنانچه از طریق مرورگر کلاینت قصد اتصال به سایتی را داشته باشیم پرتال احراز هویت فایروال FortiGate نمایش داده خواهد شد و تا زمانی که نام کاربری و رمز عبور را وارد نکنیم دسترسی به اینترنت امکان پذیر نخواهد بود.
نظرات کاربران