[KB3491] Як налаштувати пристрій Fortinet FortiGate® SSL VPN для використання з ESET Secure Authentication?

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Рішення

Вступ

У цій статті описано, як налаштувати пристрій Fortinet FortiGate® SSL VPN для автентифікації користувачів на сервері ESA. Перш ніж продовжити, переконайтеся, що ви встановили компонент RADIUS Server в ESET Secure Authentication і маєте доступ до служби RADIUS, яка дозволяє зовнішнім системам автентифікувати користувачів.

Перш ніж ваш пристрій Fortinet FortiGate® SSL VPN зможе використовувати сервер ESA для автентифікації користувачів за допомогою RADIUS, його потрібно налаштувати як клієнта RADIUS на сервері ESA. Потім ваш сервер, на якому працює служба ESA RADIUS, повинен бути налаштований як сервер RADIUS на пристрої Fortinet FortiGate® SSL VPN. Після того, як ці конфігурації будуть вказані, ви можете почати вхід на ваш пристрій Fortinet FortiGate® SSL VPN за допомогою OTP-серверів ESA.

ПРИМІТКА:

У цьому посібнику з інтеграції використовується тип клієнта " Клієнт не перевіряє ім'я користувача та пароль " для цього конкретного пристрою VPN. Якщо ви бажаєте використовувати інший тип клієнта, зверніться до загальний опис типів клієнтів'' та перевірте у постачальника, чи підтримує його пристрій VPN.

Крок I - Налаштування RADIUS-клієнта

Щоб дозволити пристрою Fortinet FortiGate® SSL VPN взаємодіяти з вашим сервером ESA, ви повинні налаштувати пристрій Fortinet FortiGate® SSL VPN як RADIUS-клієнт на вашому сервері ESA:

  1. Увійдіть до веб-консолі ESA.
  2. Перейдіть до Компоненти > RADIUS і знайдіть ім'я хоста сервера, на якому запущено службу ESA RADIUS.
  3. Клацніть ім'я хоста, а потім натисніть Створити нового клієнта радіуса.
  4. У розділі Основні параметри
    1. Дайте клієнту RADIUS ім'я, яке легко запам'ятовується.
    2. Налаштуйте IP-адресу і спільний секрет для клієнта так, щоб вони відповідали конфігурації вашого VPN-пристрою. IP-адреса - це внутрішня IP-адреса вашого пристрою. Якщо ваш пристрій взаємодіє через IPv6, використовуйте цю IP-адресу разом із відповідним ідентифікатором діапазону (ідентифікатором інтерфейсу).
    3. Спільний секрет - це спільний секрет RADIUS для зовнішнього автентифікатора, який ви налаштуєте на своєму пристрої.
  5. У розділі Автентифікація застосуйте налаштування, показані на Рисунку 1-1 нижче.

Налаштування клієнта RADIUS

  • Щоб запобігти блокуванню будь-яких існуючих користувачів AD, які не підтримують 2FA, у вашій VPN, ми рекомендуємо дозволити користувачам Non-2FA під час перехідного періоду. Також рекомендується обмежити доступ до VPN групою безпеки в розділі Користувачі.
  • Переконайтеся, що прапорець навпроти пункту Мобільний додаток встановлено.

Малюнок 1-1

Тепер ESA налаштовано на зв'язок із пристроєм Fortinet FortiGate® SSL VPN . Тепер ви повинні налаштувати пристрій Fortinet FortiGate® SSL VPN для зв'язку з сервером ESA.

Крок II - Налаштування параметрів сервера RADIUS для вашого пристрою FortiGate®

Виконайте наведені нижче кроки:

  1. Увійдіть в інтерфейс адміністратора FortiGate.
  2. Перейдіть до Аутентифікація → Сервер RADIUS.
  3. Натисніть Створити новий.
  4. Введіть ім'я сервера (наприклад, ESA RADIUS).
  5. Введіть IP-адресу вашого сервера ESA RADIUS.
  6. Введіть спільний секрет, який ви використовували для свого сервера RADIUS (див. Рисунок 1-1).
  7. Якщо ви налаштували резервний сервер ESA RADIUS, введіть інформацію вторинного сервера.
  8. Натисніть кнопку OK.

Крок III - Налаштування групи користувачів

  1. Натисніть Користувач і перейдіть до Групи користувачівГрупа користувачів.
  2. Натисніть Створити нову (або відредагуйте існуючу групу).
  3. Натисніть Додати і виберіть сервер, створений на кроці 1-д (наприклад, ESA RADIUS).
  4. Залиште опції Брандмауер і Дозволити доступ SSL VPN позначеними.
  5. Натисніть кнопку ОК.

Крок IV - Перевірте з'єднання

Щоб протестувати щойно налаштоване з'єднання:

  1. Перейдіть за URL-адресою, яку ви зазвичай використовуєте для входу в SSL VPN на пристрої Fortinet FortiGate
  2. Введіть облікові дані вашого тестового користувача. Переконайтеся, що ви використовуєте обліковий запис у мобільному додатку 2FA з увімкненою функцією ESA. Коли з'явиться запит на введення пароля, додайте OTP, згенерований мобільним додатком, до пароля AD. Наприклад, якщо користувач має пароль AD Esa123 та OTP 999111, введіть Esa123999111.

Вирішення проблем

Якщо вам не вдається автентифікуватися через сервер ESA RADIUS, переконайтеся, що ви виконали наведені нижче кроки:

  1. Запустіть димовий тест на сервері RADIUS, як описано в документі "Перевірка функціональності ESA RADIUS".
  2. Якщо несправності не було виправлено, але ви все одно не можете підключитися, поверніться до існуючої конфігурації входу, яка не використовує 2FA, і перевірте, чи можете ви підключитися.
  3. Якщо ви можете підключитися зі старими налаштуваннями, відновіть нові налаштування і переконайтеся, що брандмауер не блокує UDP 1812 між вашим VPN-пристроєм і вашим RADIUS-сервером.
  4. Якщо вам все одно не вдасться підключитися, зверніться до служби технічної підтримки ESET.

Останнє оновлення: Mar 10, 2026

Додаткові ресурси

Посібники користувача

Форум ESET

Відео на YouTube
ESET Status Portal ESET Technical Support

Існуючий клієнт?