蘇老碎碎唸

資訊無涯,回頭已不見岸

作者: AskaSu (Page 1 of 40)

用Azure AD SSO整合FortiGate管理後台

2023 年 02 月 28 日 / / 0 則留言

在過去,想在 FortiGate 上對管理帳號啟用所謂的 2FA,會搭配使用原廠的 FortiToken 來完成,但預設狀況僅提供兩個免費授權數,可以綁在管理帳號上;也就是說,若有多個管理帳號在 FortiGate,想得到更周全的防護,就會考慮添購 FortiToken 授權。

前陣子,在研讀 Azure AD SSO 整合 FortiGate VPN 的資料時意外發現,原來從 FortiOS 6.2 之後,管理後台也可以用 SAML 方式整合 SSO,而且 Fortinet 官方所提供的整合文件,更是利用許多企業有在使用的 Azure AD 做示範說明。

所以,只要有在用 Microsoft 365 的企業,就可以利用 Azure AD 來做單一登入 (SSO)。甚至,在 Azure AD/Office 365 端啟用了 MFA,那麼在登入 FortiGate 管理後台時,屆時會有同樣的身分驗證體驗及 MFA 防護效果。

如果覺得上面廢話太多,簡單說就是,用 Azure AD 完成與 FortiGate 整合設定後,就能用公司帳密登入 FortiGate 後台,而且還有MFA (如果有啟動的話)。

設定流程如下

Continue reading

如何大量更新Azure AD App Proxy的憑證

2022 年 03 月 18 日 / / 0 則留言

azureappproxxy
(圖片來源: MS Docs )

Azure AD Application Proxy ( 後簡稱 AppProxy ) 是我真心覺得微軟非常棒的一個 Azure 服務,IT 管理者可以簡單完成串接企業內部應用程式,使用者在無 VPN 的環境下就能從 Internet 直接存取到內部系統,並且搭配 Azure AD 及 Conditional Access 提供企業強大及完整的安全防護。

一般在佈建 AppProxy 服務時,IT 管理者為方便後期快速部署,大都會使用萬用字元憑證 ( Wildcard SSL Certificate ) 進行設定。但如果遇到萬用字元憑證快到期時,已經大量部署的 AppProxy 應該沒人想一個個手動更換憑證,老闆又不是請你來做工讀生的工作 (但可能給工讀生的薪水!?),這時可以利用後述的指令進行大量更換。

本篇指令主要參考國外分享,然後將其拆分成兩段做小部改寫,因為我認為任何的直接快速大量修改都是有風險的,必須要測試及確認後才能進行變更,甚至有機會做還原動作。
Continue reading

如何終止遠端伺服器的使用者RDP連線

2022 年 03 月 07 日 / / 0 則留言

RDP_qwinsta_01

很多企業都盡可能禁止一般用戶端直接 RDP 連線到遠端伺服器進行管理,包含我目前服務的單位也是,必須先遠端桌面到俗稱 RDP Gateway 的跳板主機,再連線到一些極度重要的伺服器像是 Domain Controller 或是 DB Server 等等。

但不知道是什麼原因,我很常遇到遠端進跳板主機時,就卡在如本文的截圖畫面說 「Please wait」,或者告知遠端桌面的連線 Session 登出中,怎樣就是無法正常進入桌面;導致我不時要拜託同事,把我的連線 Session 從那台主機中踢出。

總不能每次都要拜託同事幫忙,還是要想辦法自助,於是研究了一下方法。

Continue reading

移除已不存在的Azure AD Connect主機異常警示通知

2019 年 05 月 22 日 / / 0 則留言

最近陸續安排進行 Windows Server 升級作業,如同先前的文章分享提到,原地升級到 Server 2019 的狀況量有點超乎我預估,所以目前大多決定採取移轉服務到新機,包含本文要說的 Azure AD (後簡稱 AAD ) Connect 功能服務。

移轉與混合雲運作非常相關的 AAD Connect 服務其實沒什麼困難度,參考文末文件進行即可輕鬆完成。遇到比較異常的狀況是,舊有的 AAD Connect 已經透過正常程序移除,但我的公司信箱卻收到來自與舊有主機的相關通知,雖然只是通知問題已解決。

事後怎麼想都覺得怪怪的,懷疑在 Azure AD 端是否仍存有舊有同步主機的資訊?

Continue reading

CentOS安裝Hyper-V Linux整合元件後開機失敗事件

2019 年 04 月 17 日 / / 0 則留言

目前幾種主流的 Linux 版本,近年都已經可以正常在微軟 Hyper-V 中直接安裝及使用,不再像過去須特別新增「傳統網路介面卡」,或安裝整合元件 (Linux Integration Services, 後簡稱 LIS) 才能正常驅動 Hyper-V 專屬網卡。但為了能讓 Linux 更能緊密地在 Hyper-V 上完善運作,還是強烈建議將微軟不定期釋出的 LIS 版本做安裝及更新。

安裝 LIS 的方式現在很簡單,不在這裡贅述。主要分享這次在 CentOS 7.6 (1810) 安裝 LIS 4.3 後,所發生的開機失敗及修復過程。

環境: Windows Server 2016 及 Windows Server 2019 Hyper-V
虛擬機: Cent OS 7.6 1810 (啟用安全開機, Secure Boot)
LIS 版本: Linux Integration Services for Hyper-V 4.3.0

在一台全新以 Minimal Install 安裝 CentOS 7.6 (3.10.0-957.el7.x86_64) 的虛擬機器,無論這台虛擬機器是在 Server 2016 還是 Server 2019 的 Hyper-V,只要安裝了近期釋出的 LIS 4.3,重開後就無法正常啟動 (如上圖)。

Continue reading

« 較舊文章

© 2023 蘇老碎碎唸

Theme by Anders NorenUp ↑