[KB3491] Ako nakonfigurujem zariadenie Fortinet FortiGate® s funkciou SSL VPN na používanie s ESET Secure Authentication?

Riešenie

Úvod

Tento článok opisuje, ako nakonfigurovať zariadenie Fortinet FortiGate® s funkciou SSL VPN na overovanie používateľov použitím serveru ESA. Pred pokračovaním overte, či máte nainštalovaný komponent RADIUS Server služby ESET Secure Authentication a či máte prístup k službe RADIUS, ktorá umožňuje externým systémom overovať používateľov.

Predtým, ako zariadenie Fortinet FortiGate® s funkciou SSL VPN môže začať používať server ESA na overovanie používateľov cez RADIUS, musí byť na serveri ESA nastavené ako RADIUS klient. Ďalej musí byť váš server spúšťajúci službu ESA RADIUS nastavený na zariadení Fortinet FortiGate®s SSL VPN ako server RADIUS. Po nakonfigurovaní týchto nastavení sa môžete začať prihlasovať do zariadenia Fortinet FortiGate® s SSL VPN pomocou jednorazových hesiel pre ESA.

 

POZNÁMKA:

Táto príručka pre integráciu využíva typ klienta Client does not validate user name and password pre toto konkrétne zariadenie VPN. Ak chcete použiť iný typ klienta, pozrite si všeobecný opis typov klientov a overte si u dodávateľa, či ho zariadenie VPN podporuje.

 

Krok I – Konfigurácia klienta RADIUS

Aby zariadenie Fortinet FortiGate® s funkciou SSL VPN mohlo komunikovať so serverom ESA, musíte ho nakonfigurovať ako klienta RADIUS na serveri ESA:

  1. Prihláste sa do ESA Web Console.
  2. Prejdite do sekcie Components > RADIUS a vyhľadajte názov hostiteľa servera, na ktorom beží služba ESA RADIUS.
  3. Kliknite na názov hostiteľa a potom kliknite na možnosť Create New Radius Client.
  4. V sekcii Basic Settings :
    1. Pomenujte klienta RADIUS názvom, ktorý si ľahko zapamätáte.
    2. Nastavte položku IP Address a Shared Secret pre klienta tak, aby zodpovedali konfigurácii vášho zariadenia VPN. IP adresa je interná IP adresa vášho zariadenia. Ak vaše zariadenie komunikuje prostredníctvom protokolu IPv6, použite túto IP adresu spolu s ID rozsahu (ID rozhrania).
    3. Shared Secret je zdieľaná tajná informácia medzi serverom RADIUS a externým autentifikátorom, ktorý nakonfigurujete vo svojom zariadení.
  5. V sekcii Authentication použite nastavenia uvedené na obrázku 1-1 nižšie.

Konfigurácia klienta RADIUS

  • Aby ste predišli zablokovaniu existujúcich AD používateľov z používania VPN, ktorí nemajú zapnuté 2FA, odporúčame, aby ste počas fázy prechodu povolili používateľov bez 2FA . Odporúča sa tiež obmedziť prístup VPN na bezpečnostnú skupinu v časti Users .
  • Uistite sa, že je začiarknuté políčko vedľa položky Mobile Application.

Obrázok 1-1

Aplikácia ESA je teraz nakonfigurovaná na komunikáciu so zariadením Fortinet FortiGate® s SSL VPN . Zariadenie Fortinet Fortigate® s SSL VPN je potrebné nakonfigurovať na komunikáciu so serverom ESA.

 

Krok II – Konfigurácia nastavení servera RADIUS pre zariadenie FortiGate®

Postupujte podľa nasledujúcich krokov:

  1. Prihláste sa do správcovského rozhrania FortiGate.
  2. Prejdite na sekciu Authentication → RADIUS Server.
  3. Kliknite na možnosť Create new.
  4. Zadajte názov servera (napr. ESA RADIUS).
  5. Zadajte IP adresu servera ESA RADIUS.
  6. Zadajte zdieľanú tajnú informáciu, ktorú ste použili pre server RADIUS (pozri obrázok 1-1).
  7. Ak ste nakonfigurovali redundantný server ESA RADIUS, zadajte informácie o sekundárnom serveri.
  8. Kliknite na OK.

 

Krok III – Konfigurácia skupiny používateľov

  1. Kliknite na položku User a prejdite na možnosť User GroupUser Group.
  2. Kliknite na Create new na vytvorenie novej skupiny (alebo upravte existujúcu skupinu).
  3. Kliknite na možnosť Add a vyberte server vytvorený v kroku 1-d (napríklad ESA RADIUS).
  4. Možnosti FirewallAllow SSL VPN access ponechajte označené.
  5. Kliknite na OK.

 

Krok IV – Test pripojenia

Testovanie novo-nakonfigurovaného pripojenia:

  1. Prejdite na adresu URL, ktorú bežne používate na prihlásenie do služby SSL VPN pomocou zariadenia FortiGate.
  2. Zadajte prihlasovacie údaje testovacieho používateľa. Uistite sa, že používate účet, ktorý má povolené dvojfaktorové overovanie (2FA) prostredníctvom aplikácie ESET Secure Authentication. Po výzve na zadanie hesla pripojte k svojmu heslu AD OTP heslo vygenerované mobilnou aplikáciou. Ak je napríklad heslo AD „Esa123“ a  OTP heslo „999111“, zadajte „Esa123999111“.

 

Riešenie problémov

Ak sa vám nedarí vykonať overenie prostredníctvom servera ESA RADIUS, skontrolujte, či ste vykonali nasledujúce kroky:

  1. Vykonajte smoke test servera RADIUS podľa dokumentu "Overenie funkčnosti ESA RADIUS".
  2. Ak neboli odstránené žiadne chyby a stále sa nemôžete pripojiť, vráťte sa k existujúcej konfigurácii prihlasovania, ktorá nepoužíva 2FA, a overte, či sa dokážete pripojiť.
  3. Ak je pripojenie možné pomocou starých nastavení, obnovte nové nastavenia a overte, či medzi zariadením VPN a serverom RADIUS nie je firewall blokujúci port UDP 1812.
  4. Ak sa vám stále nedarí pripojiť, kontaktujte technickú podporu spoločnosti ESET.

 

Slovenský
English
Naposledy aktualizované: 28. 8. 2024

Ďalšia pomoc:

Dokumentácia

ESET Security Forum

Videonávody

Kontaktujte nás

Online formulár
02/322 44 444 (pracovné dni 8:00-18:30)
Vzdialená pomoc

Viac informácií

ESET Status Portal