Pour un projet, j'ai besoin d'une liaison AD avec mon Fortigate pour utiliser les groupes de l'AD pour des Policy spécifiques (Traffic shapper ou encore WebFiltering). Actuellement, j'utilise le service FSSO Poolling Mode (qui est simple d'utilisation même si j'ai de petit problèmes encore) mais je me suis demandé quel était la différence entre cette méthode et l'utilisation de l'agent FSSO, mise a part la charge qui est sur le serveur au lieu d'être sur le FortiGate avec l'agent ?
Si vous voulez plus d'info n'hésitai pas a demander ! =)
D'après mes maigres recherches, le polling Mode est plus adapté à des petits environnements ; notamment avec la "charge" mais aussi comment est agencé l'infrastructure. (40 DCs éclatés sur 20 sites par exe.)
La charge sur le fortinet va être plus importante avec le nombre de requetes à traiter. Un second point, avec la montée en charge, est qu' il faut aussi assurer un temps de traitement de la requête (en dessous de 100ms).
-
Un autre point, le boitier tape direct sur les DCs, en LDAP.
Un mec du réseau vient avec des boitiers en DMZ en bordure d'internet interroger mes DCs en LDAP ? -> Il se prend un coup de boule direct ;-)
Donc passer par une machine intermédiaire avec un agent (installé sur une machine serveur non DC c'est mieux) servira d'intermédiaire et permet de faire une rupture protocolaire entre la DMZ et le backend.
Ca va permettre de sécuriser au niveau flux mais aussi que la charge soit ni absorbée par les boitiers FortiNet, ni absorbée par les DCs.
Après il doit y avoir des fonctionnalités offertes en plus (logging, évènements monitorés etc ...)
- Messages postés
-
414
- Date d'inscription
- jeudi 26 janvier 2012
- Statut
- Membre
- Dernière intervention
- 28 octobre 2018
93Cela confirme mes idées et m'apporte de nouvelles perspectives =)