本文介绍从FSSO收集器代理上提供的FSSO域控制器检索用户信息的两种模式。
当将FSSO配置为无代理时,在这种情况下,FortiGate提供来自域控制器的轮询(在FortiGate GUI中的外部连接器下显示为"Active Directory连接器")。
DC-Agent模式只能从Collector Agent或FortiAuthenticator中使用。
DC-Agent模式。
在DC代理模式下,Fortinet身份验证代理安装在每个域控制器上。
这些DC代理监视用户登录事件并将信息发送到收集器代理,收集器代理存储信息并将其发送到FortiGate。
安装在域控制器上的DC代理与收集器代理不同,它是一个名为"dcagent.dll"的DLL文件,安装在Windows\system32目录中。
这使得DC代理能够直接从本地安全授权子系统服务(LSASS)读取认证事件。
DC代理模式提供可靠的用户登录信息,但是必须在每个域控制器上安装DC代理。
安装代理后需要重新启动。每个安装也需要一些维护。由于这些原因,可能无法使用DC Agent模式。
每个域控制器连接需要最低保证64 kbps带宽,以确保正确的FSSO功能。
在FortiGate上配置流量整形器,以确保域控制器连接的最小带宽得到保证。
轮询模式
在每个域控制器上安装DC-Agent可以确保检测用户登录的最大准确性。
然而,有些用户不希望在其域控制器上安装第三方软件。
在轮询模式下,有三个选项:NetAPI轮询、事件日志轮询和使用SQL的事件日志。
所有这些都具有透明和无代理的优点。
但是,当直接从FortiGate使用本地轮询时,没有这样的选项,只使用事件日志轮询。
NetAPI轮询用于检索服务器登录会话。
这包括Controller代理的登录事件信息。
NetAPI运行速度比事件日志轮询快,但在系统负载繁重时会错过一些用户登录事件。
它需要少于10秒的查询往返时间。
事件日志轮询可能会运行得慢一点,但不会错过事件,即使安装站点有许多需要身份验证的用户。
它对NetAPI轮询没有10秒的限制。
事件日志轮询需要快速的网络链接。如果有Mac OS用户登录到Windows AD,则需要事件日志轮询。
FortiGate集成轮询器只能使用这种轮询方法(在FortiGate GUI中的外部连接器下显示为"Active Directory连接器")。
其他事件轮询方法专用于FortiAuthenticator或FSSO收集器代理。
事件日志(使用事件轮询):SQL Server是从Windows服务器获取系统信息的Windows API,Collector Agent(CA)是SQL Server客户端,它将用户登录事件的SQL Server查询发送到DC(在本例中为SQL Server)。此模式的主要优点是,CA不需要在DC上搜索安全事件日志以查找用户登录事件,相反,DC将通过DNS返回所有请求的登录事件。这也减少了CA和DC之间的网络负载。
在轮询模式下,收集器代理每隔几秒钟轮询每个域控制器的端口445以获取用户登录信息,并将其转发到FortiGate。
没有安装DC代理,因此收集器代理直接轮询域控制器。