Riešenie
Úvod
Tento článok opisuje, ako nakonfigurovať zariadenie Fortinet FortiGate® s funkciou SSL VPN na overovanie používateľov použitím serveru ESA. Pred pokračovaním overte, či máte nainštalovaný komponent RADIUS Server služby ESET Secure Authentication a či máte prístup k službe RADIUS, ktorá umožňuje externým systémom overovať používateľov.
Predtým, ako zariadenie Fortinet FortiGate® s funkciou SSL VPN môže začať používať server ESA na overovanie používateľov cez RADIUS, musí byť na serveri ESA nastavené ako RADIUS klient. Ďalej musí byť váš server spúšťajúci službu ESA RADIUS nastavený na zariadení Fortinet FortiGate®s SSL VPN ako server RADIUS. Po nakonfigurovaní týchto nastavení sa môžete začať prihlasovať do zariadenia Fortinet FortiGate® s SSL VPN pomocou jednorazových hesiel pre ESA.
Krok I – Konfigurácia klienta RADIUS
Aby zariadenie Fortinet FortiGate® s funkciou SSL VPN mohlo komunikovať so serverom ESA, musíte ho nakonfigurovať ako klienta RADIUS na serveri ESA:
- Prihláste sa do ESA Web Console.
- Prejdite do sekcie Components > RADIUS a vyhľadajte názov hostiteľa servera, na ktorom beží služba ESA RADIUS.
- Kliknite na názov hostiteľa a potom kliknite na možnosť Create New Radius Client.
- V sekcii Basic Settings :
- Pomenujte klienta RADIUS názvom, ktorý si ľahko zapamätáte.
- Nastavte položku IP Address a Shared Secret pre klienta tak, aby zodpovedali konfigurácii vášho zariadenia VPN. IP adresa je interná IP adresa vášho zariadenia. Ak vaše zariadenie komunikuje prostredníctvom protokolu IPv6, použite túto IP adresu spolu s ID rozsahu (ID rozhrania).
- Shared Secret je zdieľaná tajná informácia medzi serverom RADIUS a externým autentifikátorom, ktorý nakonfigurujete vo svojom zariadení.
- V sekcii Authentication použite nastavenia uvedené na obrázku 1-1 nižšie.
Obrázok 1-1
Aplikácia ESA je teraz nakonfigurovaná na komunikáciu so zariadením Fortinet FortiGate® s SSL VPN . Zariadenie Fortinet Fortigate® s SSL VPN je potrebné nakonfigurovať na komunikáciu so serverom ESA.
Krok II – Konfigurácia nastavení servera RADIUS pre zariadenie FortiGate®
Postupujte podľa nasledujúcich krokov:
- Prihláste sa do správcovského rozhrania FortiGate.
- Prejdite na sekciu Authentication → RADIUS Server.
- Kliknite na možnosť Create new.
- Zadajte názov servera (napr. ESA RADIUS).
- Zadajte IP adresu servera ESA RADIUS.
- Zadajte zdieľanú tajnú informáciu, ktorú ste použili pre server RADIUS (pozri obrázok 1-1).
- Ak ste nakonfigurovali redundantný server ESA RADIUS, zadajte informácie o sekundárnom serveri.
- Kliknite na OK.
Krok III – Konfigurácia skupiny používateľov
- Kliknite na položku User a prejdite na možnosť User Group → User Group.
- Kliknite na Create new na vytvorenie novej skupiny (alebo upravte existujúcu skupinu).
- Kliknite na možnosť Add a vyberte server vytvorený v kroku 1-d (napríklad ESA RADIUS).
- Možnosti Firewall a Allow SSL VPN access ponechajte označené.
- Kliknite na OK.
Krok IV – Test pripojenia
Testovanie novo-nakonfigurovaného pripojenia:
- Prejdite na adresu URL, ktorú bežne používate na prihlásenie do služby SSL VPN pomocou zariadenia FortiGate.
- Zadajte prihlasovacie údaje testovacieho používateľa. Uistite sa, že používate účet, ktorý má povolené dvojfaktorové overovanie (2FA) prostredníctvom aplikácie ESET Secure Authentication. Po výzve na zadanie hesla pripojte k svojmu heslu AD OTP heslo vygenerované mobilnou aplikáciou. Ak je napríklad heslo AD „Esa123“ a OTP heslo „999111“, zadajte „Esa123999111“.
Riešenie problémov
Ak sa vám nedarí vykonať overenie prostredníctvom servera ESA RADIUS, skontrolujte, či ste vykonali nasledujúce kroky:
- Vykonajte smoke test servera RADIUS podľa dokumentu "Overenie funkčnosti ESA RADIUS".
- Ak neboli odstránené žiadne chyby a stále sa nemôžete pripojiť, vráťte sa k existujúcej konfigurácii prihlasovania, ktorá nepoužíva 2FA, a overte, či sa dokážete pripojiť.
- Ak je pripojenie možné pomocou starých nastavení, obnovte nové nastavenia a overte, či medzi zariadením VPN a serverom RADIUS nie je firewall blokujúci port UDP 1812.
- Ak sa vám stále nedarí pripojiť, kontaktujte technickú podporu spoločnosti ESET.