[KB3491] Πώς μπορώ να διαμορφώσω τη συσκευή Fortinet FortiGate® SSL VPN για χρήση με ESET Secure Authentication

Εισαγωγή

Αυτό το άρθρο περιγράφει τον τρόπο διαμόρφωσης μιας συσκευής Fortinet FortiGate® SSL VPN για την αυθεντικοποίηση χρηστών έναντι ενός ESA Server. Πριν προχωρήσετε, βεβαιωθείτε ότι έχετε εγκαταστήσει το συστατικό RADIUS Server του ESET Secure Authentication και ότι μπορείτε να αποκτήσετε πρόσβαση στην υπηρεσία RADIUS που επιτρέπει σε εξωτερικά συστήματα να πιστοποιούν τους χρήστες.

Προτού η συσκευή Fortinet FortiGate® SSL VPN μπορεί να χρησιμοποιήσει τον ESA Server για την πιστοποίηση χρηστών μέσω RADIUS, πρέπει να ρυθμιστεί ως πελάτης RADIUS στον ESA Server. Στη συνέχεια, ο διακομιστής σας που εκτελεί την υπηρεσία ESA RADIUS πρέπει να ρυθμιστεί ως διακομιστής RADIUS στη συσκευή Fortinet FortiGate® SSL VPN. Μόλις καθοριστούν αυτές οι ρυθμίσεις, μπορείτε να αρχίσετε να συνδέεστε στη συσκευή Fortinet FortiGate® SSL VPN χρησιμοποιώντας ESA OTPs.

Βήμα I - Διαμόρφωση του πελάτη RADIUS

Για να επιτρέψετε στη συσκευή Fortinet FortiGate® SSL VPN να επικοινωνεί με τον ESA Server σας, πρέπει να διαμορφώσετε τη συσκευή Fortinet FortiGate® SSL VPN ως πελάτη RADIUS στον ESA Server σας:

1. Συνδεθείτε στην ESA Web Console.
2. Πλοηγηθείτε στην ενότητα Components > RADIUS και εντοπίστε το όνομα κεντρικού υπολογιστή του διακομιστή που εκτελεί την υπηρεσία ESA RADIUS.
3. Κάντε κλικ στο όνομα κεντρικού υπολογιστή και, στη συνέχεια, κάντε κλικ στην επιλογή Δημιουργία νέου πελάτη Radius.
4. Στην ενότητα Βασικές ρυθμίσεις
   1. Δώστε στον πελάτη RADIUS ένα αξιομνημόνευτο όνομα για εύκολη αναφορά.
   2. Διαμορφώστε τη διεύθυνση IP και το κοινόχρηστο μυστικό για τον πελάτη, ώστε να αντιστοιχούν στη διαμόρφωση της συσκευής VPN. Η διεύθυνση IP είναι η εσωτερική διεύθυνση IP της συσκευής σας. Εάν η συσκευή σας επικοινωνεί μέσω IPv6, χρησιμοποιήστε αυτή τη διεύθυνση IP μαζί με το σχετικό αναγνωριστικό εμβέλειας (αναγνωριστικό διασύνδεσης).
   3. Το κοινόχρηστο μυστικό είναι το κοινόχρηστο μυστικό RADIUS για τον εξωτερικό ελεγκτή ταυτότητας που θα διαμορφώσετε στη συσκευή σας.
5. Στην ενότητα Authentication εφαρμόστε τις ρυθμίσεις που φαίνονται στην Εικόνα 1-1 παρακάτω.

Εικόνα 1-1

Το ESA έχει πλέον ρυθμιστεί για να επικοινωνεί με τη συσκευή Fortinet FortiGate® SSL VPN. Τώρα πρέπει να ρυθμίσετε τις παραμέτρους της συσκευής Fortinet FortiGate® SSL VPN για να επικοινωνεί με τον ESA Server.

Βήμα II - Διαμόρφωση των ρυθμίσεων του διακομιστή RADIUS για τη συσκευή FortiGate®

Ακολουθήστε τα παρακάτω βήματα:

1. Συνδεθείτε στη διεπαφή διαχείρισης του FortiGate.
2. Πλοηγηθείτε στην επιλογή Authentication → RADIUS Server (Έλεγχος ταυτότητας → Διακομιστής RADIUS).
3. Κάντε κλικ στην επιλογή Create New (Δημιουργία νέου).
4. Εισάγετε ένα όνομα για το διακομιστή (για παράδειγμα, ESA RADIUS).
5. Εισάγετε τη διεύθυνση IP του διακομιστή ESA RADIUS.
6. Εισάγετε το κοινόχρηστο μυστικό που χρησιμοποιήσατε για το διακομιστή RADIUS (βλ. Εικόνα 1-1).
7. Εισάγετε πληροφορίες δευτερεύοντος διακομιστή, εάν έχετε ρυθμίσει έναν πλεονάζοντα διακομιστή ESA RADIUS.
8. Κάντε κλικ στο OK.

Βήμα III - Διαμόρφωση μιας ομάδας χρηστών

1. Κάντε κλικ στην επιλογή User (Χρήστης ) και μεταβείτε στην επιλογή User Group (Ομάδα χρηστών )→ User Group (Ομάδα χρηστών).
2. Κάντε κλικ στην επιλογή Δημιουργία νέας ομάδας (ή επεξεργαστείτε μια υπάρχουσα ομάδα).
3. Κάντε κλικ στο κουμπί Προσθήκη και επιλέξτε το διακομιστή που δημιουργήθηκε στο βήμα 1-d (για παράδειγμα, ESA RADIUS).
4. Αφήστε επιλεγμένες τις επιλογές Firewall και Allow SSL VPN access (Να επιτρέπεται η πρόσβαση στο SSL VPN ).
5. Κάντε κλικ στο OK.

Βήμα IV - Δοκιμή της σύνδεσης

Για να δοκιμάσετε τη νέα διαμορφωμένη σύνδεση:

1. Πλοηγηθείτε στη διεύθυνση URL που χρησιμοποιείτε συνήθως για συνδέσεις SSL VPN με τη συσκευή Fortinet FortiGate
2. Εισάγετε τα διαπιστευτήρια του δοκιμαστικού σας χρήστη. Βεβαιωθείτε ότι χρησιμοποιείτε έναν λογαριασμό με ενεργοποιημένο το Mobile Application 2FA με χρήση ESA. Όταν σας ζητηθεί κωδικός πρόσβασης, προσθέστε τον OTP που παράγεται από την εφαρμογή Mobile Application στον κωδικό πρόσβασης AD. Για παράδειγμα, εάν ο χρήστης έχει κωδικό πρόσβασης AD Esa123 και OTP 999111, θα πρέπει να πληκτρολογήσετε Esa123999111.

Αντιμετώπιση προβλημάτων

Εάν δεν μπορείτε να πραγματοποιήσετε έλεγχο ταυτότητας μέσω του διακομιστή ESA RADIUS, βεβαιωθείτε ότι έχετε εκτελέσει τα ακόλουθα βήματα:

1. Εκτελέστε μια δοκιμή καπνού στον διακομιστή RADIUS, σύμφωνα με το έγγραφο "Επαλήθευση της λειτουργικότητας του ESA RADIUS".
2. Εάν δεν διορθώθηκαν σφάλματα και εξακολουθείτε να μην μπορείτε να συνδεθείτε, επιστρέψτε σε μια υπάρχουσα διαμόρφωση σύνδεσης που δεν χρησιμοποιεί 2FA και επαληθεύστε ότι μπορείτε να συνδεθείτε.
3. Εάν μπορείτε να συνδεθείτε χρησιμοποιώντας τις παλιές ρυθμίσεις, επαναφέρετε τις νέες ρυθμίσεις και επαληθεύστε ότι δεν υπάρχει τείχος προστασίας που να εμποδίζει το UDP 1812 μεταξύ της συσκευής VPN και του διακομιστή RADIUS.
4. Εάν εξακολουθείτε να μην μπορείτε να συνδεθείτε, επικοινωνήστε με την τεχνική υποστήριξη της ESET.