Rublon

Secure Remote Access

By

Omówienie uwierzytelniania MFA dla usługi Fortinet FortiGate IPSec VPN przy użyciu protokołu LDAP(S)

W tej dokumentacji opisano, jak zintegrować platformę Rublon MFA z usługą Fortinet FortiGate IPSec VPN przy użyciu protokołu LDAP(S), aby umożliwić uwierzytelnianie wieloskładnikowe dla połączeń VPN.

Film demonstracyjny

YouTube player

Wspierane metody uwierzytelniania

Metoda uwierzytelnianiaCzy wspieranaKomentarz
Powiadomienie mobilneN/A
FIDON/A
Kod dostępuN/A
Kod SMSN/A
Link SMSN/A
Połączenie telefoniczneN/A
Kod QRN/A
Link e-mailN/A
YubiKey OTPN/A
RFIDN/A

Zanim zaczniesz konfigurować uwierzytelnianie MFA dla usługi Fortinet FortiGate IPSec VPN przy użyciu protokołu LDAP(S)

Przed skonfigurowaniem uwierzytelniania Rublon MFA dla Fortinet Fortigate IPSec VPN:

  • Upewnij się, że wszystkie wymagane komponenty są gotowe.
  • Utwórz aplikację w konsoli Rublon Admin Console.
  • Zainstaluj aplikację mobilną Rublon Authenticator.

Wymagane komponenty

1. Dostawca tożsamości (IdP) — potrzebujesz zewnętrznego dostawcy tożsamości, takiego jak Microsoft Active Directory, OpenLDAP czy FreeLDAP(S).

2. Rublon Authentication Proxy – zainstaluj usługę Rublon Authentication Proxy, jeśli jeszcze nie jest zainstalowana i skonfigurują ją, aby działała jako proxy serwera LDAP.

3. Fortinet Fortigate – Prawidłowo zainstalowana i skonfigurowana usługa.

Utwórz aplikację w konsoli Rublon Admin Console

1. Zarejestruj się w konsoli Rublon Admin Console. Oto jak to zrobić.

2. W konsoli Rublon Admin Console przejdź do zakładki Applications (Aplikacje) i kliknij Add Application (Dodaj aplikację).

3. Wprowadź nazwę swojej aplikacji (np. FortiGate VPN), a następnie ustaw jej typ na Rublon Authentication Proxy.

4. Kliknij przycisk Save (Zapisz), aby dodać nową aplikację w konsoli Rublon Admin Console.

5. Skopiuj i zapisz wartości System Token i Secret Key. Te wartości będą Ci potrzebne później.

Zainstaluj aplikację Rublon Authenticator

Niektórzy użytkownicy końcowi mogą skorzystać z aplikacji mobilnej Rublon Authenticator. Dlatego też, jako osoba konfigurująca uwierzytelnianie MFA dla usługi Fortinet FortiGate IPSec VPN, zdecydowanie zalecamy Ci zainstalowanie aplikacji mobilnej Rublon Authenticator. Dzięki temu możliwe będzie przetestowanie uwierzytelniania MFA dla usługi Fortinet FortiGate za pomocą metody uwierzytelniania Powiadomienie mobilne.

Pobierz aplikację Rublon Authenticator dla systemu:

Konfiguracja uwierzytelniania wieloskładnikowego (MFA) dla usługi Fortinet FortiGate IPSec VPN przy użyciu protokołu LDAP(S)

Postępuj zgodnie z poniższymi instrukcjami, aby skonfigurować uwierzytelnianie MFA dla usługi Fortinet FortiGate IPSec VPN przy użyciu protokołu LDAP(S).

Dodanie serwera Rublon Authentication Proxy jako serwera LDAP w Fortinet FortiGate

1. Zaloguj się do panelu administratora Fortinet FortiGate.

2. Kliknij User & Authentication po lewej stronie, aby rozwinąć tę sekcję, a następnie kliknij LDAP Servers.

3. Kliknij przycisk Create New, aby dodać serwer Rublon Authentication Proxy.

4. Wypełnij formularz i kliknij OK, aby dodać nowy serwer. Zapoznaj się z poniższym obrazkiem i tabelą.

NameUstaw nazwę nowego serwera, np. Rublon Authentication Proxy.
Server IP/NameWprowadź adres IP lub FQDN serwera Rublon Authentication Proxy.
Server PortWprowadź port serwera Rublon Authentication Proxy (domyślnie 389 dla LDAP; 636 dla LDAPS).
Common Name Identifiercn
Distinguished NamePodstawowa nazwa DN (Base DN) dla domeny lokalnej lub określonej jednostki organizacyjnej z domeny lokalnej – zapisana w notacji LDAP (np. DC=rublondemo,DC=local).
Exchange ServerOdznacz.
Bind TypeRegular
UsernameWprowadź Bind DN użytkownika, który ma prawa odczytu na serwerze LDAP(S).
PasswordWprowadź hasło użytkownika zdefiniowanego przez Bind DN.
Secure ConnectionZaznacz, jeśli używasz protokołu LDAPS.

5. Możesz teraz sprawdzić konfigurację za pomocą przycisków Test Connectivity i Test User Credentials. Kliknięcie Test Connectivity sprawdzi połączenie usługi FortiGate z usługą Rublon Authentication Proxy, a kliknięcie Connection Status pokaże, czy połączenie się powiodło, czy nie.

Konfiguracja grupy użytkowników

1. Kliknij User & Authentication po lewej stronie, aby rozwinąć tę sekcję, a następnie kliknij User Groups.

NameRublon
TypeFirewall

3. Kliknij przycisk Add w sekcji Remote Groups. W Add Group Match wybierz zdalny serwer Rublon Authentication Proxy. Nie musisz określać grupy. Kliknij OK, aby dodać serwer zdalny.

4. Kliknij OK, aby zapisać ustawienia grupy użytkowników.

5. Jeśli używasz serwera LDAP (np. Active Directory) w usłudze Rublon Authentication Proxy, dodanie grupy użytkowników za pomocą graficznego interfejsu użytkownika (GUI) nie jest wystarczające. Konieczne jest wykonanie następujących kroków, aby zmapować DN grupy usługi AD za pomocą CLI.

Po zapisaniu ustawień grupy, kliknij Edit, następnie kliknij Edit in CLI, po czym wykonaj następujące polecenia:

set member NAME_OF_THE_SERVER_FROM_LDAP_SERVERS
config match
edit 1
set server-name NAME_OF_THE_SERVER_FROM_LDAP_SERVERS
set group-name DN_OF_THE_GROUP_FROM_AD
next
end
end

Możesz zamknąć konsolę i odświeżyć stronę. Teraz mapowanie na DN grupy AD powinno być widoczne.

Uwaga

Jeśli użytkownik posiada dwa konta o tej samej nazwie w systemie FortiGate – jedno to konto użytkownika przeznaczone do połączeń VPN, a drugie to konto do administracji (zdefiniowane w System → Administrators) – i oba konta uwierzytelniają się przez zewnętrznego dostawcę tożsamości (IdP), to po wdrożeniu usługi Rublon Authentication Proxy należy przełączyć takie konto administracyjne na uwierzytelnianie lokalne (System → Administrators → Edit Administrator → ustawić Type na Local User).

Pozostawienie uwierzytelniania konta admina przez zewnętrznego dostawcę tożsamości doprowadzi do sytuacji, w której połączenia VPN takiego użytkownika nie będą wymagały drugiego składnika uwierzytelniania. Stanie się tak, ponieważ FortiGate będzie widział dwa konta o tej samej nazwie w tym samym źródle. Jeśli konto administracyjne (z taką samą nazwą) jest również skonfigurowane w zewnętrznym IdP i nie wymaga MFA, FortiGate zakończy logowanie już po uzyskaniu pozytywnej odpowiedzi z tego konta – zanim jeszcze zakończy się proces uwierzytelniania z usługi Rublon Proxy (który trwa dłużej, bo np. czeka na potwierdzenie w aplikacji Rublon Authenticator). Przełączenie konta admina na Local User sprawia, że FortiGate nie szuka już alternatywnego źródła tożsamości dla tego samego loginu, dzięki czemu połączenie VPN zawsze wymaga podania drugiego składnika uwierzytelniania.

Konfiguracja polityk i mapowania zapory sieciowej

1. Skonfiguruj tunel IPSec VPN, jeśli jeszcze tego nie zrobiono.

2. Kliknij pozycję Policy & Objects po lewej stronie, aby ją rozwinąć i wybierz IPV4 Policy.

Uwaga: W niektórych przypadkach zamiast polityki IPV4 dostępna będzie opcja Firewall Policy.

3. Utwórz lub edytuj politykę związaną z interfejsem IPSec-VPN.

4. W polu Source dodaj utworzoną wcześniej przestrzeń adresową (np. IPSECVPN_TUNNEL-ADDR1) i grupę (Rublon).

5. Kliknij OK, aby zapisać zmiany.

6. Kliknij pozycję VPN po lewej stronie, aby ją rozwinąć i wybierz IPSec-VPN Settings.

7. Przejdź do sekcji Authentication/Portal Mapping.

8. Utwórz nowe lub edytuj istniejące mapowanie, aby przyznać dostęp do utworzonej wcześniej grupy. Jeśli wymagania nie są inne, zezwól na pełny dostęp (full-access).

9. Kliknij OK, a następnie Apply, aby zapisać zmiany.

Konfiguracja limitu czasu i dodatkowych opcji

Domyślny limit czasu w urządzeniu Fortinet wynosi 5 sekund. Jest to zbyt krótko okres czasu na uwierzytelnienie, może z wyjątkiem metody Kod dostępu. Musisz zwiększyć limit czasu w interfejsie wiersza poleceń Fortinet. Zalecamy zwiększenie limitu czasu do co najmniej 180 sekund.

1. Połącz się z interfejsem wiersza poleceń (CLI) urządzenia. Jeśli potrzebujesz więcej informacji, zapoznaj się z dokumentacją dołączoną do urządzenia Fortinet.

2. Wykonaj następujące polecenia:

config system global
set remoteauthtimeout 60
set ldapconntimeout 60000
end
  • remoteauthtimeout: Ten czas jest określony w sekundach.
  • ldapconntimeout: Ten czas jest określony w milisekundach.

Konfiguracja IPSec

1. W panelu administracyjnym Fortinet FortiGate przejdź do VPN → VPN Tunnels i wybierz profil IPSec VPN. Następnie wybierz Edit.

2. W zakładce Tunnel Settings, przejdź do sekcji Authentication i wypełnij pola. Zapoznaj się z poniższym obrazkiem i tabelą.

MethodWybierz Pre‑shared Key lub Signature, w zależności od Twojej konfiguracji IPSec.

Są to metody uwierzytelniania połączenia między klientem a serwerem. Pierwsza wykorzystuje wspólne hasło (klucz współdzielony), natomiast druga opiera się na certyfikacie.

Więcej informacji: Pre‑shared key vs digital certificates
IKEVersion 1
ModeMain (ID Protection)
Accepted peer IDAny peer ID
XAuthAuto server
User GroupWskaż i wybierz grupę użytkowników, którą utworzono w sekcji Konfiguracja grupy użytkowników.

3. Pozostaw pozostałe pola z wartościami domyślnymi lub dostosuj je do własnych potrzeb, a następnie wybierz OK, aby zapisać konfigurację.

Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi Fortinet FortiGate IPSec VPN zintegrowanego za pośrednictwem protokołu LDAP(S)

Usługa Rublon MFA dla FortiGate IPSec VPN wymaga wykorzystania programu FortiClient VPN.

Metoda uwierzytelniania Powiadomienie mobilne została ustawiona jako drugi czynnik w konfiguracji usługi Rublon Authentication Proxy (Parametr AUTH_METHOD został ustawiony na Push).

1. Otwórz FortiClient VPN i utwórz nowe połączenie IPSec VPN.

2. Wybierz IPSec VPN, a następnie skonfiguruj następujące ustawienia:

  • Wprowadź adres IP w polu Remote Gateway.
  • Określ Authentication Method.
  • Rozwiń Advanced Settings → VPN Settings i ustaw:
    • IKE: Version 1
    • Mode: Main
    • Address Assignment: Mode Config
  • Rozwiń Advanced Settings → Phase 1 i ustaw:
    • IKE Proposal: AES128/SHA1; AES256/SHA256
    • DH Group: 20 i 21
    • Key Life: 86400
  • Rozwiń Advanced Settings → Phase 2 i ustaw:
    • IKE Proposal: AES128/SHA1; AES256/SHA256
    • Key Life: 43200
    • DH Group: 20
  • Wybierz Save.

3. Podaj nazwę użytkownika i hasło i wybierz Connect.

4. Otrzymasz żądanie uwierzytelniania na swój telefon.

5. Wybierz ZATWIERDŹ.

6. Nastąpi połączenie z VPN-em.

Rozwiązywanie problemów z uwierzytelnianiem MFA dla usługi Fortinet FortiGate IPSec VPN przy użyciu protokołu LDAP(S)

Jeśli napotkasz jakiekolwiek problemy z integracją Rublon, skontaktuj się z pomocą techniczną Rublon Support.

Powiązane posty

Rublon Authentication Proxy

Rublon Authentication Proxy – Integracje