FortiGate/Authentication23 강제로 인증정책이 IP 정책보다 우선하도록 하는 설정 아래와 같은 방화벽 정책에서 상위 2번 정책이 사용자 인증이 필요한 정책이기 때문에 모든 트래픽은 인증이 필요한것으로 생각 할 수있다. 하지만 실제로 동작해보면 인증없이 트래픽이 통과하게된다. IP 정책이 우선이기 때문이다. 인증받지 않은 트래픽인 2번 policy와 match를 시도하다, 인증을 받지 않았기 때문에 다음 1번 정책과 match 하여 IP와 서비스등의 정보가 매칭되면 1번 정책을 타게된다. FortiOS v6.2부터 다음 명령어를 이용하여 IP 정책보다 인증정책을 우선하도록 설정 할 수 있다. default 설정은 "set auth-on-demand implicitly" 이다. 2021. 8. 24. 'policy-auth-concurrent' 명령어 설명 'policy-auth-concurrent'는 동일한 사용자가 여러 소스 address에서 동시에 인증될 수 있는지를 설정하는 명령어이다. Default 설정값은 "0"으로 여러 소스 address에서 동시 인증에 대한 제한이 없다. 만약 아래와 같이 이 값을 "1"로 설정하면 하나의 사용자는 하나의 소스 IP에 대해서만 인증이 가능하다. 사용자가 이미 인증된 경우 다른 소스에서 동일한 사용자에 대한 인증 요청은 거부된다. 아래와 같이 user 또는 user group에서 global 설정을 재정의 할 수 있다. 재정의 한 경우 우선순위는 User Group이 제일 높고, User, global 설정 순이다. User group > User > Global setting "auth-concurrent" .. 2021. 7. 22. Captive portal 사용자 인증후 웹 페이지가 접속 안되는 경우 FortiGate에서 Captive portal 사용자 인증후 웹 페이지가 접속 안되다가 여러번 시도하면 접속 되는 경우가 있다. DNS 쿼리만 잘 받아 온다면 " HTTP redirection" 관련된 이유로 아래의 명령어로 해결 가능하다. # config user setting set auth-src-mac disable end 2021. 5. 20. 크롬계열 브라우저에서 Captive portal 인증 timeout 문제 Chrome, Edge 같은 크롬 계열 브라우저에서 captive portal 인증시에 의도하지 않게 인증 timeout이 발생할 수 있다. FortiGate는 아래의 명령어를 이용하여 Captive portal 인증에 대해 인증 timeoutdl 아니라 keepalive page를 이용하여 연결 유지를 제공한다. # config system global set auth-keepalive enable end 사용자가 인증후 keepalive 페이지에서 동작하는 script를 통해 FortiGate에 트래픽을 보내 지속적으로 인증을 유지하는 방식이다. 크롬 계열 브라우저에서 이 script의 실행이 너무 느려져서 FortiGate에서는 Keepalive 메시지가 누락되어 인증이 timeout 되는 것이다... 2021. 5. 7. Fortigate Ldap Common Name Identifier 설정 CN, sAMAccountName 차이 Fortigate Ldap 연동 설정 시 Common Name Identifier 설정 부분 cn과 sAMAccountName 차이 Common Name Identifier에 cn으로 설정 시 cn(Full Name)으로 유저 인증을 사용하고 sAMAccountName 설정 시 계정명(Login 계정)으로 유저 인증을 사용한다. 테스트를 위한 계정 생성 위 사진에서 CN(Full Name)은 성+이름이고 sAMAccountName에 사용되는 계정명은 testdy cn 확인하는 방법 LDAP 사용자 계정 오른쪽 클릭 > 속성 > 특성 편집기 탭에서 확인 cn = jdy Fortigate LDAP 설정 Common Name Identifier sAMAccountName 설정으로 테스트 LDAP과 연동 확인 .. 2021. 3. 3. 이전 1 2 3 4 5 다음
