- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- Palo Alto GlobalProtect
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка двухфакторной аутентификации FortiGate VPN
Общая информация
В статье описывается настройка FortiGate для подключения к VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MULTIFACTORСМСАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.КлючTelegram
Для настройки второго фактора аутентификации вам потребуется установить и настроить MULTIFACTOR Radius Adapter.
Может быть полезно
Доступна настройка второго фактора в режиме диалога с пользователем.
Видео-презентация
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в Forticlient;
- FortiGate по протоколу RADIUS подключается к компоненту MULTIFACTOR Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в Forticlient.
Настройка FortiGate
Откройте консоль управления FortiGate.
Настройка RADIUS сервера
В разделе User & Device > Authentication > RADIUS Servers измените настройки RADIUS:
- название: MFA_Radius
- Primary Server IP/Name: адрес компонента MULTIFACTOR Radius Adapter
- Primary Server Secret: Shared Secret из настроек компонента
- Authentication method: PAP
К сведению
Убедитесь, что в списке только один RADIUS сервер, иначе FortiGate будет отправлять запросы во все поочередно.
Настройка группы пользователей
В разделе User & Device > User > User Group создайте группу пользователей SSL VPN Users и добавьте MFA_Radius в Remote Servers.
Настройка политики доступа
В разделе Policy & Objects > Policy > IPv4 создайте новую политику для доступа пользователей SSL VPN к внутренней сети:
- Incoming interface: ssl.root (SSL VPN interface)
- Source Users: SSL VPN Users
Таймаут ожидания ответа от RADIUS сервера
Для аутентификации через PUSH уведомления, увеличьте время ожидания ответа RADIUS.
- Откройте консоль (CLI)
- Выполните команды
# config system global
set remoteauthtimeout 60
end
# config user radius
edit MFA_Radius
set timeout 60
end
Передача атрибутов групп из AD
Есть два варианта передачи атрибутов из AD на Forti:
1) Передавать в качестве названий групп все значения из LDAP атрибута memberOf
<!-- Передавать атрибут Fortinet-Group-Name со всеми группами пользователя в Active Directory --> <add name="Fortinet-Group-Name" from="memberOf"/>
2) Передавать в качестве названия группы значение Users (как на FortiGate), если в AD группа называется VPN Users
<!-- Передавать атрибут Fortinet-Group-Name со значением Users, если пользователь входит в LDAP группу VPN Users --> <add name="Fortinet-Group-Name" value="Users" when="UserGroup=VPN Users"/>
Смотрите также:
