FortiAuthenticator整合SSL-VPN認證

作者: Andy 2022 年 7 月 29 日2022 年 12 月 19 日

頁面目錄

環境說明：

FortiOS版本：After 6.0
FortiAuthenticator版本：After 6.2
FortiAuthenticator預設有兩個FortiToken Mobile免費授權，請先註冊正式授權後才可啟用
可以依要啟用雙因子認證的user數增購FortiToken Moblie授權
各FortiAuthenticator型號可支援的FortiToken最大授權數量不同
FortiToken支援IOS、Android裝置，需預先安裝好FortiToken Mobile APP

FortiAuthenticator設定

建立使用者帳號和群組

1.整合Local帳號
FortiAuthenticator可以建立本地使用者帳號做為RADIUS認證來源

2.整合LDAP帳號
FortiAuthenticator可以匯入LDAP帳號進行管理與雙因子認證設定

FortiAuthenticator整合SSL-VPN認證 — 至Remote Auth->LDAP設定LDAP Server連線

FortiAuthenticator整合SSL-VPN認證 — 至User Management->Remote Users選Import匯入LDAP帳號

FortiAuthenticator整合SSL-VPN認證 — 選擇帳號匯入

FortiAuthenticator整合SSL-VPN認證 — 帳號可以啟用和停用雙因子認證支援FortiToken、Email、SMS三種方式(記得要設定Email啟用token)，管理面可以啟用和停用帳號與允許RADIUS認證。如何啟用FortiToken教學請參考連結

FortiAuthenticator整合SSL-VPN認證 — 在帳號啟用token後可以至User Management->FortiTokens確認token使用狀態

至User Management->User Groups建立使用者群組，如果要做群組權限管理需設定RADIUS Attributes以FortiGate SSL-VPN做為設定範例

自動同步AD帳號

設定Remote User Sync Rules自動同步AD帳號，可以設定自動指派Token與同步時間

建立Realms

至User Management->Realms建立Realms可以整合多個認證來源支援Local、LDAP、RADIUS，適用於有多個分公司or同一公司有多個認證主機的使用情境

設定RADIUS服務

至RADIUS Service->Clients 設定RADIUS Client來源IP與Secret key

至RADIUS Service->Policies 設定RADIUS Clients

設定Authentication type，選擇Password/OTP authentication

設定Identity sources，如有不同認證來源則需設定Realms。Username format依需求選擇有username@realm、realm\username、realm/username三種格式，如果做群組權限管理需設定Groups Filter

設定Authentication factors，預設選擇All configured password and OTP factors(帳號可以使用密碼 or 密碼+雙因子)，Mandatory password and OTP(每個帳號都要密碼+雙因子)、Password-only(只使用密碼跳過雙因子)、OTP-only(只使用雙因子跳過密碼)

設定token push notifications

設定token push notifications可以加快雙因子認證流程，客戶只需按下核準不需輸入認證碼即可完成雙因子認證

至System Access設定Public IP/FQDN for FortiToken Mobile的IP，另需在外網防火牆設定DNAT對應FAC的Private IP到這個Public IP和port

至RADIUS Service->Policies 啟用Allow FortiToken Mobile push notifications

FortiGate設定

設定RADIUS Server

設定RADIUS Server連線

設定使用者群組

情境1.不做群組權限管理

RADIUS帳號群組Groups設定Any

情境2.做群組權限管理

RADIUS帳號群組Groups設定在FortiAuthenticator群組上設定的RADIUS Attributes值

建立RADIUS使用者群組 for SSL-VPN，使用者群組建立好後可套用至後續SSL-VPN設定中

參考連結：

FortiAuthenticator DATA SHEET

FortiGate 啟用FortiToken雙因子認證

作者: Andy

Andy目前在台灣最大的Fortinet代理商聯達資訊工作，熱愛IT技術與經驗分享，經營這個網站與大家一起學習成長檢視「Andy」的全部文章

文章日曆