Настройка двухфакторной аутентификации FortiGate VPN

Общая информация

В статье описывается настройка FortiGate для подключения к VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Доступна настройка второго фактора в режиме диалога с пользователем.

Пользователь подключается к VPN, вводит логин и пароль в Forticlient;
FortiGate по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в Forticlient.

Откройте консоль управления FortiGate.

В разделе User & Device > Authentication > RADIUS Servers измените настройки RADIUS:

Убедитесь, что в списке только один RADIUS сервер, иначе FortiGate будет отправлять запросы во все поочередно.

В разделе User & Device > User > User Group создайте группу пользователей SSL VPN Users и добавьте MFA_Radius в Remote Servers.

В разделе Policy & Objects > Policy > IPv4 создайте новую политику для доступа пользователей SSL VPN к внутренней сети:

Для аутентификации через PUSH уведомления, увеличьте время ожидания ответа RADIUS.

# config system global
    set remoteauthtimeout 60
end

# config user radius
    edit MFA_Radius
        set timeout 60
end

Смотрите также: