[KB3491] Comment configurer mon appareil Fortinet FortiGate® SSL VPN pour l'utilisation d'ESET Secure Authentication ?

NOTE:

Cette page a été traduite par un ordinateur. Cliquez sur English sous Languages sur cette page pour afficher le texte original. Si vous estimez que quelque chose n'est pas clair, veuillez contacter votre support local.

Solution

Introduction

Cet article décrit comment configurer un dispositif Fortinet FortiGate® SSL VPN pour authentifier les utilisateurs par rapport à un serveur ESA. Avant de continuer, vérifiez que vous avez installé le composant Serveur RADIUS d'ESET Secure Authentication et que vous pouvez accéder au service RADIUS qui permet aux systèmes externes d'authentifier les utilisateurs.

Avant que votre dispositif Fortinet FortiGate® SSL VPN puisse utiliser le serveur ESA pour authentifier les utilisateurs via RADIUS, il doit être configuré en tant que client RADIUS sur le serveur ESA. Ensuite, votre serveur exécutant le service RADIUS ESA doit être configuré en tant que serveur RADIUS sur le dispositif Fortinet FortiGate® SSL VPN. Une fois ces configurations spécifiées, vous pouvez commencer à vous connecter à votre dispositif Fortinet FortiGate® SSL VPN à l'aide des OTP ESA.

NOTE :

Ce guide d'intégration utilise le Client ne valide pas le nom d'utilisateur et le mot de passe du type Client pour cet appareil VPN particulier. Si vous souhaitez utiliser un autre type de client, reportez-vous à generic description of Client types et vérifiez auprès du fournisseur si l'appareil VPN le prend en charge.

Étape I - Configuration du client RADIUS

Pour permettre au dispositif Fortinet FortiGate® SSL VPN de communiquer avec votre serveur ESA, vous devez configurer le dispositif Fortinet FortiGate® SSL VPN en tant que client RADIUS sur votre serveur ESA :

  1. Connectez-vous à la console Web ESA.
  2. Naviguez vers Composants > RADIUS et localisez le nom d'hôte du serveur exécutant le service RADIUS ESA.
  3. Cliquez sur le nom d'hôte, puis sur Create New Radius Client (Créer un nouveau client Radius).
  4. Dans la section Basic Settings (Paramètres de base)
    1. Donnez au client RADIUS un nom mémorable pour faciliter les références.
    2. Configurez l'adresse IP et le secret partagé pour le client afin qu'ils correspondent à la configuration de votre appareil VPN. L'adresse IP est l'adresse IP interne de votre appareil. Si votre appareil communique via IPv6, utilisez cette adresse IP ainsi que l'ID de portée (ID d'interface) correspondant.
    3. Le secret partagé est le secret partagé RADIUS pour l'authentificateur externe que vous configurerez sur votre appliance.
  5. Dans la section Authentification, appliquez les paramètres indiqués dans la figure 1-1 ci-dessous.

Configuration de votre client RADIUS

  • Pour éviter de bloquer les utilisateurs AD existants qui n'ont pas accès à l'authentification 2FA dans votre VPN, nous vous recommandons d'autoriser les utilisateurs qui n'ont pas accès à l'authentification 2FA au cours de la phase de transition. Il est également recommandé de limiter l'accès au VPN à un groupe de sécurité dans la section Utilisateurs.
  • Assurez-vous que la case à cocher en regard de l'application mobile est sélectionnée.

Figure 1-1

L'ESA est maintenant configuré pour communiquer avec le dispositif VPN SSL Fortinet FortiGate®. Vous devez maintenant configurer le dispositif Fortinet FortiGate® SSL VPN pour qu'il communique avec le serveur ESA.

Étape II - Configurer les paramètres du serveur RADIUS pour votre dispositif FortiGate®

Suivez les étapes ci-dessous :

  1. Connectez-vous à l'interface d'administration du FortiGate.
  2. Naviguez vers Authentification → Serveur RADIUS.
  3. Cliquez sur Create New (Créer un nouveau).
  4. Entrez un nom pour le serveur (par exemple, ESA RADIUS).
  5. Entrez l'adresse IP de votre serveur ESA RADIUS.
  6. Entrez le secret partagé que vous avez utilisé pour votre serveur RADIUS (voir Figure 1-1).
  7. Saisissez les informations relatives au serveur secondaire, si vous avez configuré un serveur RADIUS ESA redondant.
  8. Cliquez sur OK.

Étape III - Configuration d'un groupe d'utilisateurs

  1. Cliquez sur Utilisateur et accédez à Groupe d'utilisateurs Groupe d'utilisateurs.
  2. Cliquez sur Créer un nouveau groupe (ou modifiez un groupe existant).
  3. Cliquez sur Ajouter et sélectionnez le serveur créé à l'étape 1-d (par exemple, ESA RADIUS).
  4. Ne décochez pas les cases Pare-feu et Autoriser l'accès VPN SSL.
  5. Cliquez sur OK.

Étape IV - Tester la connexion

Pour tester la connexion nouvellement configurée :

  1. Naviguez jusqu'à l'URL que vous utilisez normalement pour les connexions VPN SSL avec votre appareil Fortinet FortiGate
  2. Saisissez les informations d'identification de votre utilisateur de test. Assurez-vous que vous utilisez un compte dont l'application mobile 2FA utilisant ESA est activée. Lorsque vous êtes invité à entrer un mot de passe, ajoutez l'OTP généré par l'application mobile à votre mot de passe AD. Par exemple, si l'utilisateur a un mot de passe AD Esa123 et un OTP de 999111, vous devez taper Esa123999111.

Résolution des problèmes

Si vous ne parvenez pas à vous authentifier via le serveur RADIUS ESA, assurez-vous d'avoir effectué les étapes suivantes :

  1. Exécutez un test de fumée sur votre serveur RADIUS, conformément au document "Verifying ESA RADIUS Functionality" (Vérification de la fonctionnalité du serveur RADIUS ESA).
  2. Si aucune erreur n'a été corrigée et que vous ne parvenez toujours pas à vous connecter, revenez à une configuration d'ouverture de session existante qui n'utilise pas l'option 2FA et vérifiez que vous êtes en mesure de vous connecter.
  3. Si vous pouvez vous connecter en utilisant les anciens paramètres, restaurez les nouveaux paramètres et vérifiez qu'aucun pare-feu ne bloque le protocole UDP 1812 entre votre appareil VPN et votre serveur RADIUS.
  4. Si vous ne parvenez toujours pas à vous connecter, contactez le support technique d'ESET.

Dernière mise à jour: 17 déc. 2025

Ressources supplémentaires:

Aide en ligne

Forum ESET

Vidéos de la base de connaissances
ESET Status Portal ESET Technical Support

Client existant?