DC-Agent模式和轮询模式的比较

本文介绍从FSSO收集器代理上提供的FSSO域控制器检索用户信息的两种模式。

当将FSSO配置为无代理时,在这种情况下,FortiGate提供来自域控制器的轮询(在FortiGate GUI中的外部连接器下显示为"Active Directory连接器")。

DC-Agent模式只能从Collector Agent或FortiAuthenticator中使用。

DC-Agent模式。

在DC代理模式下,Fortinet身份验证代理安装在每个域控制器上。

这些DC代理监视用户登录事件并将信息发送到收集器代理,收集器代理存储信息并将其发送到FortiGate。

安装在域控制器上的DC代理与收集器代理不同,它是一个名为"dcagent.dll"的DLL文件,安装在Windows\system32目录中。

这使得DC代理能够直接从本地安全授权子系统服务(LSASS)读取认证事件。

DC代理模式提供可靠的用户登录信息,但是必须在每个域控制器上安装DC代理。

安装代理后需要重新启动。每个安装也需要一些维护。由于这些原因,可能无法使用DC Agent模式。

每个域控制器连接需要最低保证64 kbps带宽,以确保正确的FSSO功能。

在FortiGate上配置流量整形器,以确保域控制器连接的最小带宽得到保证。

轮询模式

在每个域控制器上安装DC-Agent可以确保检测用户登录的最大准确性。

然而,有些用户不希望在其域控制器上安装第三方软件。

在轮询模式下,有三个选项:NetAPI轮询、事件日志轮询和使用SQL的事件日志。

所有这些都具有透明和无代理的优点。

但是,当直接从FortiGate使用本地轮询时,没有这样的选项,只使用事件日志轮询。

NetAPI轮询用于检索服务器登录会话。

这包括Controller代理的登录事件信息。

NetAPI运行速度比事件日志轮询快,但在系统负载繁重时会错过一些用户登录事件。

它需要少于10秒的查询往返时间。

事件日志轮询可能会运行得慢一点,但不会错过事件,即使安装站点有许多需要身份验证的用户。

它对NetAPI轮询没有10秒的限制。

事件日志轮询需要快速的网络链接。如果有Mac OS用户登录到Windows AD,则需要事件日志轮询。

FortiGate集成轮询器只能使用这种轮询方法(在FortiGate GUI中的外部连接器下显示为"Active Directory连接器")。

其他事件轮询方法专用于FortiAuthenticator或FSSO收集器代理。

事件日志(使用事件轮询):SQL Server是从Windows服务器获取系统信息的Windows API,Collector Agent(CA)是SQL Server客户端,它将用户登录事件的SQL Server查询发送到DC(在本例中为SQL Server)。此模式的主要优点是,CA不需要在DC上搜索安全事件日志以查找用户登录事件,相反,DC将通过DNS返回所有请求的登录事件。这也减少了CA和DC之间的网络负载。

在轮询模式下,收集器代理每隔几秒钟轮询每个域控制器的端口445以获取用户登录信息,并将其转发到FortiGate。

没有安装DC代理,因此收集器代理直接轮询域控制器。

相关推荐
༺ཉི།星陈大海།ཉྀ༻CISSP18 分钟前
专网内网IP攻击防御:从应急响应到架构加固
网络·安全
深圳多奥智能一卡(码、脸)通系统2 小时前
关于车位引导及汽车乘梯解决方案的专业性、系统性、可落地性强的综合设计方案与技术实现说明,旨在为现代智慧停车楼提供高效、安全、智能的停车体验。
安全·汽车
PcVue China10 小时前
法国彩虹重磅发布EmVue:解锁能源监控新方式
安全·自动化·软件工程·能源·数字化
Y_0311 小时前
网络安全基础知识【6】
安全·web安全
东风西巷16 小时前
猫眼浏览器:简约安全的 Chrome 内核增强版浏览器
前端·chrome·安全·电脑·软件需求
xyphf_和派孔明19 小时前
关于Web前端安全防御之点击劫持的原理及防御措施
安全·点击劫持
Sandman6z19 小时前
启用“安全登录”组合键(Ctrl+Alt+Delete)解锁
安全
芯盾时代19 小时前
芯盾时代受邀出席安全可信数据要素交易流通利用研讨会
安全·网络安全·数据安全·芯盾时代
网安Ruler21 小时前
Web开发-PHP应用&原生语法&全局变量&数据接受&身份验证&变量覆盖&任意上传(代码审计案例)
网络·安全·网络安全·渗透·红队
xyphf_和派孔明21 小时前
关于Web前端安全防御XSS攻防的几点考虑
安全