Настройка двухфакторной аутентификации FortiGate VPN

Общая информация

В статье описывается настройка FortiGate для подключения к VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

• СМС
• Аппаратные OTP токены
• Приложения OTP: Google Authenticator или Яндекс.Ключ
• Telegram
• Мобильное приложение (скоро)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Видео-презентация

Схема работы

1. Пользователь подключается к VPN, вводит логин и пароль в Forticlient;
2. FortiGate по протоколу RADIUS подключается к компонету MultiFactor Radius Adapter;
3. Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
4. Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в Forticlient.

Настройка FortiGate

Откройте консоль управления FortiGate.

Настройка RADIUS сервера

В разделе User & Device > Authentication > RADIUS Servers измените настройки RADIUS:

• название: MFA_Radius
• Primary Server IP/Name: адрес компонента MultiFactor Radius Adapter
• Primary Server Secret: Shared Secret из настроек компонента
• Authentication method: PAP

Убедитесь, что в списке только один RADIUS сервер, иначе FortiGate будет отправлять запросы во все поочередно.

Настройка группы пользователей

В разделе User & Device > User > User Group создайте группу пользователей SSL VPN Users и добавьте MFA_Radius в Remote Servers.

Настройка политики доступа

В разделе Policy & Objects > Policy > IPv4 создайте новую политику для доступа пользователей SSL VPN к внутренней сети:

• Incoming interface: ssl.root (SSL VPN interface)
• Source Users: SSL VPN Users

Смотрите также:

• Настройка двухфакторной аутентификации Remote Desktop.
• Портал для самостоятельно регистрации 2fa.