Ostatnia aktualizacja dnia 1 września 2025
Omówienie uwierzytelniania MFA dla usługi Fortinet FortiMail przy użyciu protokołu LDAP(S)
Zanim zaczniesz konfigurować uwierzytelnianie MFA dla usługi Fortinet FortiMail przy użyciu protokołu LDAP(S)
Wymagane komponenty
Utwórz aplikację w konsoli Rublon Admin Console
Zainstaluj aplikację Rublon Authenticator
Konfiguracja uwierzytelniania wieloskładnikowego (MFA) dla usługi Fortinet FortiMail przy użyciu protokołu LDAP(S)
Rublon Authentication Proxy
1. Edytuj plik konfiguracyjny usługi Rublon Auth Proxy i wklej wcześniej skopiowane wartości System Token i Secret Key odpowiednio w opcjach system_token i secret_key.
log:
debug: true
rublon:
api_server: https://core.rublon.net
system_token: YOURSYSTEMTOKEN
secret_key: YOURSECRETKEY
proxy_servers:
- name: LDAP-Proxy
type: LDAP
ip: 0.0.0.0
port: 636
auth_source: LDAP_SOURCE_1
auth_method: push, email
rublon_section: rublon
cert_path: /etc/ssl/certs/ca.crt
pkey_path: /etc/ssl/certs/key.pem
auth_sources:
- name: LDAP_SOURCE_1
type: LDAP
ip: 172.16.0.127
port: 636
transport_type: ssl
search_dn: dc=example,dc=org
access_user_dn: cn=admin,dc=example,dc=org
access_user_password: CHANGE_ME
ca_certs_dir_path: /etc/ssl/certs/FortiMail
Tworzenie profilu LDAP
1. Zaloguj się do panelu admina usługi FortiMail.
2. Wybierz opcję View (ikona oka) w prawym górnym rogu i zmień ją z Simple na Advanced.
3. Przejdź do Profile → LDAP i wybierz New….
4. Wprowadź informacje o nowym profilu LDAP i wybierz Apply a potem OK, aby utworzyć profil. Zapoznaj się z poniższym obrazkiem i tabelą. Zachowaj wartości domyślne opcji niewymienionych w tabeli.
| Name | Łatwo rozpoznawalna nazwa profilu LDAP. |
| Server name/IP | Adres IP serwera usługi Rublon Auth Proxy. |
| Port | Port serwera usługi Rublon Auth Proxy (389 dla LDAP lub 636 dla LDAPS). |
| Use secure connection | Przełącz na SSL, jeśli korzystasz z protokołu LDAPS. |
| Client certificate | None, niezależnie od tego czy używasz protokołu LDAP czy LDAPS. |
| Use client certificate for TLS authentication | Wyłączone, niezależnie od tego, czy używasz protokołu LDAP czy LDAPS. |
| Default Bind | |
| Base DN | Base DN z katalogu AD/LDAP (miejsce wyszukiwania użytkowników), np. OU=Rublon,dc=rublondemo,dc=local |
| Bind DN | Bind DN (pełna ścieżka LDAP konta serwisowego, np. CN=rublonadmin,OU=Rublon,DC=rublondemo,DC=local), które usługa FortiMail wykorzysta do uwierzytelnienia oraz uzyskania dostępu do katalogu LDAP w celu wyszukiwania informacji o użytkownikach. |
| Bind password | Hasło użytkownika zdefiniowanego w Bind DN |
| User Query | |
| User query | (|(objectClass=user)(objectClass=group)(objectClass=publicFolder)) |
| Scope | Subtree |
| Derefer | Never |
| Retrieve display name for webmail | Disabled |
| Display name attribute | cn |
| User Authentication | |
| Wybierz opcję Try common name with base DN as bind DN. | |
| Common name ID | CN Uwaga: Należy wpisać wielkimi literami, aby zapewnić zgodność ze składnią LDAP oraz poprawność działania. |
| User Alias | |
| Wyłącz funkcję User Alias, przełączając przełącznik. | |
| Advanced | |
| Enable cache | Wyłącz, aby wymusić uwierzytelnianie MFA podczas każdego logowania. |
Konfiguracja certyfikatu dla protokołu LDAPS
1. Dostosuj plik konfiguracyjny usługi Rublon Auth Proxy do obsługi protokołu LDAPS. Zobacz: Jak skonfigurować certyfikaty LDAPS w Rublon Authentication Proxy?
2. W panelu admina FortiMail, przejdź do System → Certificate → CA Certificate, wybierz Import… i wybierz swój certyfikat z systemu plików. Podaj nazwę dla swojego certyfikatu i wybierz OK, aby go dodać.
Uwaga: To musi być ten sam certyfikat, który ustawiono w cert_path w pliku konfiguracyjnym usługi Rublon Auth Proxy.
Włączenie uwierzytelniania MFA dla administratorów
1. Przejdź do System → Administrator → Administrator i wybierz New… (albo dwukrotnie kliknij na istniejącego admina, aby go edytować).
2. Wprowadź informacje o nowym administratorze i wybierz Create, aby dodać tego admina (albo OK, aby edytować istniejącego admina). Zapoznaj się z poniższym obrazkiem i tabelą. Zachowaj wartości domyślne opcji niewymienionych w tabeli.
| Administrator | Wprowadź nazwę administratora. Upewnij się, że ta nazwa jest taka sama, jak nazwa w dostawcy tożsamości (IdP). |
| Authentication type | LDAP |
| LDAP profile | Profil, który wcześniej utworzono. |
Włączenie uwierzytelniania MFA dla użytkowników
Jeśli używasz FortiMail w trybie Server, należy także włączyć uwierzytelnianie wieloskładnikowe dla użytkowników uzyskujących dostęp do usługi FortiMail.
1. Przejdź do Domain & User → Domain i wybierz New… (albo dwukrotnie kliknij na istniejącą domenę, aby ją edytować).
2. Jeśli tworzysz nową domenę, podaj jej nazwę w polu Domain name.
3. W User profile, wybierz utworzony wcześniej profil LDAP.
4. Wybierz Create lub OK, aby zapisać zmiany.
Dostosowanie limitu czasu
Domyślny limit czasu uwierzytelniania jest krótki, dlatego należy go wydłużyć, aby mieć więcej czasu na potwierdzenie drugiego składnika uwierzytelnienia od Rublon. Można to zrobić za pomocą konsoli CLI, używając następujących poleceń:
config system global
set remote-auth-timeout 60
end
Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi Fortinet FortiMail zintegrowanego za pośrednictwem protokołu LDAP(S)
