intoview.aiشبكات · أمن · سحابة · ذكاء اصطناعي
الدخول الموحّد FSSO0%
الدخول الموحّد FSSOمستخدمAD / DCCollectorFortiGateدخولuser/IPidentityFortiGate يتعلّم هوية المستخدم من Active Directory بدون إعادة تسجيل دخول
الدخول الموحّد FSSO على FortiGate 7.6

الـ FSSO هو آليّة passive authentication، أي أنّ الـ FortiGate يتعرّف على هويّة المستخدم دون أن يطلب منه إدخال username وpassword مرّة أخرى. الفكرة أنّ المستخدم يكون قد سجّل دخوله أصلاً على مصدر الهويّة، وعادةً يكون Active Directory، فيتعلّم الـ FortiGate ربط user إلى IP من ذلك المصدر. بعدها تُستخدم الـ FSSO groups داخل الـ firewall policies لبناء قواعد قائمة على الهويّة بدل الـ IP فقط.

  • 1الـ FSSO هو passive authentication: لا captive portal ولا prompt للمستخدم، لأنّ الهويّة تُستمدّ من جلسة الدخول القائمة أصلاً على مصدر الهويّة.
  • 2جوهر الآليّة هو بناء user-to-IP mapping: يتعلّم الـ FortiGate أيّ user يجلس خلف أيّ source IP، ثمّ يطابق الـ traffic بهذا الـ mapping.
  • 3وضع Agent-based: يُثبَّت DC Agent على كلّ Domain Controller لرصد الـ logon events، ويجمعها Collector Agent ويُمرّر user/group/IP إلى الـ FortiGate. الأكثر scalability وأقرب إلى real-time.
  • 4وضع Agentless / Polling: يقوم الـ FortiGate أو الـ Collector بعمل polling مباشر لـ DC security event logs عبر WMI أو SMB، دون تثبيت agent، لكنّه أثقل وأقلّ granularity.
  • 5المصدر ليس مقصوراً على AD: يدعم الـ FSSO أيضاً RADIUS Accounting وFortiNAC وFortiAuthenticator وSyslog، بينما يبقى الـ captive portal خياراً للـ active authentication.

مسار الهويّة في الـ FSSO Agent-based

👤
المستخدم يسجّل دخوله على AD
🖥️
DC Agent يرصد الـ logon
📥
Collector Agent يجمّع
🛡️
FortiGate يستلم الـ mapping
📋
Firewall policy حسب الهويّة
🔎تفاصيل أعمق
  • في الـ Agent-based mode الـ DC Agent يعمل عند مستوى الـ Domain Controller ويلتقط الـ logon event لحظة حدوثه ويرسله إلى الـ Collector Agent، الذي يُحلّ الـ group memberships عبر LDAP ويحتفظ بجدول الـ user-to-IP mappings ثمّ يدفعه إلى الـ FortiGate. هذا الفصل بين الرصد والتجميع هو ما يمنح هذا الوضع الـ scalability والقرب من الـ real-time.
  • في الـ Agentless / Polling mode لا يوجد DC Agent، فيتولّى الـ Collector Agent أو الـ FortiGate نفسه عمل polling دوريّ لـ security event logs على الـ DC عبر WMI أو قراءة الـ event log عبر SMB. لا حاجة لتثبيت شيء على الـ DC، لكنّ الكلفة هي زمن أطول لاكتشاف الدخول وحِمل أعلى على الـ DC ودقّة أقلّ في التقاط كلّ حدث، لذا يُفضَّل للبيئات الصغيرة أو حين يُمنع تثبيت الـ agents.
  • بعد وصول الـ mapping إلى الـ FortiGate تُعرَّف الـ FSSO user groups من النوع Fortinet Single Sign-On (FSSO) المرتبطة بالـ AD groups، ثمّ تُستخدم هذه الـ groups في الـ source field داخل الـ firewall policy. النتيجة هي قواعد قائمة على الهويّة: المستخدم في group معيّن يحصل على وصول محدّد بصرف النظر عن الـ IP، وهذا أساس مفهوم الـ identity-based policy في FortiOS.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
المنفذ الافتراضي للتواصل مع وكيل التجميع هو 8000.
  • config user fssoالدخول إلى قسم الإعداد
  • edit "AD-FSSO"إنشاء/تعديل كائن
  • set server 10.0.1.15ضبط قيمة إعداد
  • set password "FssoSecret"ضبط قيمة إعداد
  • set port 8000ضبط قيمة إعداد
  • nextحفظ الكائن والعودة
  • endحفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: اتصال بوكيل التجميع (Collector Agent)
FGT-LAB-01 #
0/7
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
المنفذ الافتراضي للتواصل مع وكيل التجميع هو 8000.

Agent-based مقابل Agentless / Polling

Agent-based
  • DC Agent على كلّ DC
  • event-driven، قرب real-time
  • الأعلى scalability
  • يتطلّب install على الـ DC
Agentless / Polling
  • لا agent، WMI أو SMB
  • polling دوريّ للـ logs
  • أثقل وأقلّ granularity
  • أنسب للبيئات الصغيرة
💡 نصيحة مقابلة: 💡 سؤال شائع في المقابلات: ما الفرق بين Agent-based وAgentless في الـ FSSO؟ الجواب القويّ يربط بين real-time event detection عبر الـ DC Agent مقابل periodic log polling عبر WMI، ثمّ يذكر أنّ الـ Agent-based أنسب للبيئات الكبيرة متعدّدة الـ Domain Controllers لأنّه event-driven وأخفّ على الشبكة.