SSL VPN Zugang per LDAP Attribut Filter
Wer ein AD betreibt und nur einen VPN Zugang über die FortiGate anbietet, der kann auf einfachem Weg Attribute der AD User Objekte verwenden, um zu steuern, wer sich remote anmelden darf. Die Pflege eine zusätzlichen AD Gruppe entfällt dadurch.
In unserem Beispiel möchten wir Benutzern den SSL-VPN Zugang erlauben, deren Dial-In Attribute in den Einstellungen des AD User Objekts gesetzt ist (msNPAllowDialin = TRUE); das macht am meisten Sinn.
Zuerst legen wir dazu auf der FortiGate per CLI einen entsprechenden LDAP Server mit der Option member-attr
an.
config user ldap edit ldap_dialin set server <Domain-Controller IP> set cnid sAMAccountName set dn "DC=<Domain>,DC=<TLD>" set type regular set username <LDAP Service Account>@<Domain>.<TLD> set password <LDAP Service Account Password> set member-attr msNPAllowDialin next end
Im Anschluss benötigen wir eine FortiGate User Gruppe. Sobald diese Gruppe angelegt ist, können sich die Benutzer mit gesetztem Dial-In Attribut an der FortiGate authentifizieren.
config user group edit ldap_dialin_group set member ldap_dialin config match edit 1 set server-name ldap_dialin set group-name TRUE next end end
Zum Abschluss erlauben wir der neu angelegten User Gruppe, sich am SSL VPN Portal zu authentifizieren.