Ratkaisu
Johdanto
Tässä artikkelissa kuvataan, miten Fortinet FortiGate® SSL VPN -laite konfiguroidaan tunnistamaan käyttäjät ESA-palvelimella. Ennen kuin jatkat, tarkista, että olet asentanut ESET Secure Authenticationin RADIUS Server -komponentin ja että voit käyttää RADIUS-palvelua, jonka avulla ulkoiset järjestelmät voivat todentaa käyttäjiä.
Ennen kuin Fortinet FortiGate® SSL VPN -laite voi käyttää ESA-palvelinta käyttäjien todentamiseen RADIUS:n kautta, se on määritettävä RADIUS-asiakkaaksi ESA-palvelimessa. Seuraavaksi ESA RADIUS -palvelua käyttävä palvelimesi on määritettävä Fortinet FortiGate® SSL VPN -laitteen RADIUS-palvelimeksi. Kun nämä määritykset on määritetty, voit aloittaa kirjautumisen Fortinet FortiGate® SSL VPN -laitteeseen ESA OTP:n avulla.
Vaihe I - RADIUS-asiakkaan määritys
Jotta Fortinet FortiGate® SSL VPN -laite voi kommunikoida ESA-palvelimen kanssa, sinun on määritettävä Fortinet FortiGate® SSL VPN -laite RADIUS-asiakkaaksi ESA-palvelimessa:
- Kirjaudu sisään ESA Web Consoleen.
- Siirry kohtaan Komponentit > RADIUS ja etsi ESA RADIUS -palvelua käyttävän palvelimen isäntänimi.
- Napsauta isäntänimeä ja napsauta sitten Luo uusi radiusasiakas.
- Perusasetukset-osiossa
- Anna RADIUS-asiakkaalle mieleenpainuva nimi, johon on helppo viitata.
- Määritä asiakkaan IP-osoite ja jaettu salaisuus siten, että ne vastaavat VPN-laitteesi kokoonpanoa. IP-osoite on laitteesi sisäinen IP-osoite. Jos laitteesi kommunikoi IPv6:n kautta, käytä kyseistä IP-osoitetta ja siihen liittyvää scope ID -tunnusta (käyttöliittymätunnusta).
- Jaettu salaisuus on laitteeseen määritettävän ulkoisen todentajan RADIUS-jakosalaisuus.
- Sovella Authentication (Todennus ) -osiossa alla olevassa kuvassa 1-1 esitettyjä asetuksia.
Kuva 1-1
ESA on nyt määritetty kommunikoimaan Fortinet FortiGate® SSL VPN -laitteen kanssa . Sinun on nyt määritettävä Fortinet FortiGate® SSL VPN -laite kommunikoimaan ESA-palvelimen kanssa.
Vaihe II - Määritä RADIUS-palvelimen asetukset FortiGate®-laitteelle
Noudata alla olevia ohjeita:
- Kirjaudu sisään FortiGaten hallintakäyttöliittymään.
- Siirry kohtaan Authentication → RADIUS Server.
- Napsauta Luo uusi.
- Anna palvelimelle nimi (esimerkiksi ESA RADIUS).
- Kirjoita ESA RADIUS -palvelimen IP-osoite.
- Kirjoita jaettu salaisuus, jota käytit RADIUS-palvelimessa (katso kuva 1-1).
- Anna toissijaisen palvelimen tiedot, jos olet määrittänyt ylimääräisen ESA RADIUS -palvelimen.
- Napsauta OK.
Vaihe III - Käyttäjäryhmän määrittäminen
- Napsauta Käyttäjä ja siirry kohtaan Käyttäjäryhmä → Käyttäjäryhmä.
- Napsauta Luo uusi (tai muokkaa olemassa olevaa ryhmää).
- Napsauta Lisää ja valitse vaiheessa 1-d luotu palvelin (esimerkiksi ESA RADIUS).
- Jätä Palomuuri ja Salli SSL VPN -yhteys valittuna.
- Napsauta OK.
Vaihe IV - Testaa yhteys
Testaa juuri määritetty yhteys:
- Siirry URL-osoitteeseen, jota normaalisti käytät SSL VPN -kirjautumiseen Fortinet FortiGate -laitteella
- Syötä testikäyttäjän tunnistetiedot. Varmista, että käytät tiliä, jossa on käytössä Mobile Application 2FA using ESA. Kun sinua pyydetään antamaan salasana, liitä mobiilisovelluksen luoma OTP AD-salasanaasi. Jos käyttäjän AD-salasana on esimerkiksi Esa123 ja OTP 999111, kirjoita Esa123999111.
Vianmääritys
Jos et pysty todennukseen ESA RADIUS-palvelimen kautta, varmista, että olet suorittanut seuraavat vaiheet:
- Suorita savutesti RADIUS-palvelimellasi asiakirjan "Verifying ESA RADIUS Functionality" mukaisesti.
- Jos mitään vikoja ei ole korjattu, etkä vieläkään pysty muodostamaan yhteyttä, palaa olemassa olevaan kirjautumiskokoonpanoon, jossa ei käytetä 2FA:ta, ja tarkista, että voit muodostaa yhteyden.
- Jos voit muodostaa yhteyden vanhoilla asetuksilla, palauta uudet asetukset ja tarkista, ettei VPN-laitteen ja RADIUS-palvelimen välillä ole palomuuria, joka estää UDP 1812:n käytön.
- Jos et vieläkään pysty muodostamaan yhteyttä, ota yhteyttä ESETin tekniseen tukeen.
