Lahendus
Sissejuhatus
Selles artiklis kirjeldatakse, kuidas konfigureerida Fortinet FortiGate® SSL VPN seadet kasutajate autentimiseks ESA-serveri vastu. Enne jätkamist veenduge, et olete installeerinud ESET Secure Authentication'i RADIUS Server komponendi ja saate juurdepääsu RADIUS-teenusele, mis võimaldab välissüsteemidel kasutajaid autentida.
Enne kui teie Fortinet FortiGate® SSL VPN-seade saab kasutada ESA-serverit kasutajate autentimiseks RADIUSi kaudu, tuleb seade seadistada RADIUS-kliendina ESA-serveris. Seejärel tuleb teie ESA RADIUS-teenust kasutav server seadistada Fortinet FortiGate® SSL VPN-seadmes RADIUS-serveriks. Kui need seadistused on määratud, saate alustada sisselogimist oma Fortinet FortiGate® SSL VPN seadmesse ESA OTP-de abil.
I samm - RADIUS-kliendi konfigureerimine
Selleks, et Fortinet FortiGate® SSL VPN-seade saaks suhelda teie ESA serveriga, peate konfigureerima Fortinet FortiGate® SSL VPN-seadme oma ESA serveris RADIUS-kliendina:
- Logige sisse ESA veebikonsooli.
- Navigeerige menüüsse Components > RADIUS ja leidke ESA RADIUS-teenust kasutava serveri hostinimi.
- Klõpsake hostinimel ja seejärel klõpsake Create New Radius Client.
- Avage jaotises Basic Settings (Põhiseaded )
- Andke RADIUS-kliendile meeldejääv nimi, et sellele oleks lihtne viidata.
- Konfigureerige kliendi IP-aadress ja jagatud saladus nii, et need vastaksid teie VPN-seadme konfiguratsioonile. IP-aadress on teie seadme sisemine IP-aadress. Kui teie seade suhtleb IPv6 kaudu, kasutage seda IP-aadressi koos vastava vahemiku ID-ga (liidese ID).
- Jagatud saladus on RADIUSi jagatud saladus välise autentimisseadme jaoks, mille te seadmes konfigureerite.
- Kasutage jaotises Authentication (Autentimine ) allpool joonisel 1-1 näidatud seadistusi.
Joonis 1-1
ESA on nüüd konfigureeritud suhtlema Fortinet FortiGate® SSL VPN seadmega. Nüüd peate konfigureerima Fortinet FortiGate® SSL VPN seadme ESA serveriga suhtlemiseks.
II samm - RADIUS-serveri seadete konfigureerimine FortiGate® seadme jaoks
Järgige alljärgnevaid samme:
- Logige sisse FortiGate'i haldusliidesesse.
- Navigeerige menüüsse Authentication → RADIUS Server (Autentimine → RADIUS server).
- Klõpsake nuppu Create New (Loo uus).
- Sisestage serveri nimi (näiteks ESA RADIUS).
- Sisestage ESA RADIUS-serveri IP-aadress.
- Sisestage RADIUS-serveri jaoks kasutatud jagatud saladus (vt joonis 1-1).
- Sisestage teise serveri andmed, kui olete konfigureerinud ESA RADIUSi serveri.
- Klõpsake OK.
III samm - kasutajagrupi konfigureerimine
- Klõpsake nuppu User ja navigeerige jaotisele User Group → User Group.
- Klõpsake nuppu Create New (või redigeerida olemasolevat rühma).
- Klõpsake nuppu Add ja valige sammus 1-d loodud server (näiteks ESA RADIUS).
- Jäta tulemüür ja luba SSL VPN-juurdepääsu.
- Klõpsake OK.
IV samm - ühenduse testimine
Uue konfigureeritud ühenduse testimiseks:
- Navigeerige URL-ile, mida tavaliselt kasutate SSL VPN-i sisselogimiseks oma Fortinet FortiGate'i seadmega
- Sisestage oma testkasutajate volitused. Veenduge, et kasutate kontot, mille puhul on lubatud mobiilirakenduse 2FA kasutamine ESA abil. Kui teilt küsitakse parooli, lisage mobiilirakenduse poolt genereeritud OTP oma AD paroolile. Näiteks kui kasutaja AD-parool on Esa123 ja OTP 999111, tuleb sisestada Esa123999111.
Veaotsing
Kui teil ei õnnestu autentimine ESA RADIUS-serveri kaudu, veenduge, et olete teinud järgmised toimingud:
- Tehke oma RADIUS-serveri suhtes suitsukatse vastavalt dokumendile "ESA RADIUSi funktsionaalsuse kontrollimine".
- Kui ühtegi viga ei ole parandatud ja te ei saa endiselt ühendust luua, pöörduge tagasi olemasoleva sisselogimiskonfiguratsiooni juurde, mis ei kasuta 2FA-d, ja kontrollige, et teil on võimalik ühendust luua.
- Kui teil on võimalik ühendust luua vanade seadete abil, taastage uued seaded ja kontrollige, et VPN-seadme ja RADIUS-serveri vahel ei ole tulemüüri, mis blokeerib UDP 1812.
- Kui teil ei õnnestu endiselt ühendust luua, võtke ühendust ESETi tehnilise toega.
