Настройка двухфакторной аутентификации FortiGate VPN
Общая информация
В статье описывается настройка FortiGate для подключения к VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactorСМСАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.КлючTelegram
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Видео-презентация
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в Forticlient;
- FortiGate по протоколу RADIUS подключается к компонету MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в Forticlient.
Настройка FortiGate
Откройте консоль управления FortiGate.
Настройка RADIUS сервера
В разделе User & Device > Authentication > RADIUS Servers измените настройки RADIUS:
- название: MFA_Radius
- Primary Server IP/Name: адрес компонента MultiFactor Radius Adapter
- Primary Server Secret: Shared Secret из настроек компонента
- Authentication method: PAP
Убедитесь, что в списке только один RADIUS сервер, иначе FortiGate будет отправлять запросы во все поочередно.
Настройка группы пользователей
В разделе User & Device > User > User Group создайте группу пользователей SSL VPN Users и добавьте MFA_Radius в Remote Servers.
Настройка политики доступа
В разделе Policy & Objects > Policy > IPv4 создайте новую политику для доступа пользователей SSL VPN к внутренней сети:
- Incoming interface: ssl.root (SSL VPN interface)
- Source Users: SSL VPN Users
Таймаут ожидания ответа от RADIUS сервера
Для аутентификации через PUSH уведомления, увеличьте время ожидания ответа RADIUS.
- Откройте консоль (CLI)
- Выполните команды
# config system global
set remoteauthtimeout 60
end
# config user radius
edit MFA_Radius
set timeout 60
end
Смотрите также: