Перейти к основному содержимому

Настройка двухфакторной аутентификации FortiGate VPN

Общая информация

В статье описывается настройка FortiGate для подключения к VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

может быть полезно

Доступна настройка второго фактора в режиме диалога с пользователем.

Видео-презентация

Схема работы

  1. Пользователь подключается к VPN, вводит логин и пароль в Forticlient;
  2. FortiGate по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
  3. Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в Forticlient.

Настройка FortiGate

Откройте консоль управления FortiGate.

Настройка RADIUS сервера

В разделе User & Device > Authentication > RADIUS Servers измените настройки RADIUS:

  • название: MFA_Radius
  • Primary Server IP/Name: адрес компонента MultiFactor Radius Adapter
  • Primary Server Secret: Shared Secret из настроек компонента
  • Authentication method: PAP
к сведению

Убедитесь, что в списке только один RADIUS сервер, иначе FortiGate будет отправлять запросы во все поочередно.

Настройка группы пользователей

В разделе User & Device > User > User Group создайте группу пользователей SSL VPN Users и добавьте MFA_Radius в Remote Servers.

Настройка политики доступа

В разделе Policy & Objects > Policy > IPv4 создайте новую политику для доступа пользователей SSL VPN к внутренней сети:

  • Incoming interface: ssl.root (SSL VPN interface)
  • Source Users: SSL VPN Users

Таймаут ожидания ответа от RADIUS сервера

Для аутентификации через PUSH уведомления, увеличьте время ожидания ответа RADIUS.

  1. Откройте консоль (CLI)
  2. Выполните команды
# config system global
set remoteauthtimeout 60
end
# config user radius
edit MFA_Radius
set timeout 60
end

Смотрите также: