Rublon

Secure Remote Access

By

Ostatnia aktualizacja dnia 8 lipca 2025

Omówienie uwierzytelniania MFA dla usługi Fortinet FortiGate SSL VPN przy użyciu protokołu LDAP(S)

W tej dokumentacji opisano, jak zintegrować platformę Rublon MFA z usługą Fortinet FortiGate SSL VPN przy użyciu protokołu LDAP(S), aby umożliwić uwierzytelnianie wieloskładnikowe dla połączeń VPN.

Film demonstracyjny

Wspierane metody uwierzytelniania

Metoda uwierzytelnianiaCzy wspieranaKomentarz
Powiadomienie mobilneN/A
Klucz bezpieczeństwa WebAuthn/U2FN/A
Kod dostępuN/A
Kod SMSN/A
Link SMSN/A
Połączenie telefoniczneN/A
Kod QRN/A
Link e-mailN/A
Klucz bezpieczeństwa YubiKey OTPN/A

Zanim zaczniesz konfigurować uwierzytelnianie MFA dla usługi Fortinet FortiGate SSL VPN przy użyciu protokołu LDAP(S)

Przed skonfigurowaniem uwierzytelniania Rublon MFA dla Fortinet Fortigate SSL VPN:

  • Upewnij się, że wszystkie wymagane komponenty są gotowe.
  • Utwórz aplikację w konsoli Rublon Admin Console.
  • Zainstaluj aplikację mobilną Rublon Authenticator.

Wymagane komponenty

1. Dostawca tożsamości (IdP) — potrzebujesz zewnętrznego dostawcy tożsamości, takiego jak Microsoft Active Directory, OpenLDAP czy FreeLDAP(S).

2. Rublon Authentication Proxy – zainstaluj usługę Rublon Authentication Proxy, jeśli jeszcze nie jest zainstalowana i skonfigurują ją, aby działała jako proxy serwera LDAP.

3. Fortinet Fortigate – Prawidłowo zainstalowana i skonfigurowana usługa.

Utwórz aplikację w konsoli Rublon Admin Console

1. Zarejestruj się w konsoli Rublon Admin Console. Oto jak to zrobić.

2. W konsoli Rublon Admin Console przejdź do zakładki Applications (Aplikacje) i kliknij Add Application (Dodaj aplikację).

3. Wprowadź nazwę swojej aplikacji (np. FortiGate VPN), a następnie ustaw jej typ na Rublon Authentication Proxy.

4. Kliknij przycisk Save (Zapisz), aby dodać nową aplikację w konsoli Rublon Admin Console.

5. Skopiuj i zapisz wartości System Token i Secret Key. Te wartości będą Ci potrzebne później.

Zainstaluj aplikację Rublon Authenticator

Niektórzy użytkownicy końcowi mogą skorzystać z aplikacji mobilnej Rublon Authenticator. Dlatego też, jako osoba konfigurująca uwierzytelnianie MFA dla usługi Fortinet FortiGate SSL VPN, zdecydowanie zalecamy Ci zainstalowanie aplikacji mobilnej Rublon Authenticator. Dzięki temu możliwe będzie przetestowanie uwierzytelniania MFA dla usługi Fortinet FortiGate za pomocą metody uwierzytelniania Powiadomienie mobilne.

Pobierz aplikację Rublon Authenticator dla systemu:

Konfiguracja uwierzytelniania wieloskładnikowego (MFA) dla usługi Fortinet FortiGate SSL VPN przy użyciu protokołu LDAP(S)

Postępuj zgodnie z poniższymi instrukcjami, aby skonfigurować uwierzytelnianie MFA dla usługi Fortinet FortiGate SSL VPN przy użyciu protokołu LDAP(S).

Dodanie serwera Rublon Authentication Proxy jako serwera LDAP w Fortinet FortiGate

1. Zaloguj się do panelu administratora Fortinet FortiGate.

2. Kliknij User & Authentication po lewej stronie, aby rozwinąć tę sekcję, a następnie kliknij LDAP Servers.

3. Kliknij przycisk Create New, aby dodać serwer Rublon Authentication Proxy.

4. Wypełnij formularz i kliknij OK, aby dodać nowy serwer. Zapoznaj się z poniższym obrazkiem i tabelą.

NameUstaw nazwę nowego serwera, np. Rublon Authentication Proxy.
Server IP/NameWprowadź adres IP lub FQDN serwera Rublon Authentication Proxy.
Server PortWprowadź port serwera Rublon Authentication Proxy (domyślnie 389 dla LDAP; 636 dla LDAPS).
Common Name Identifiercn
Distinguished NamePodstawowa nazwa DN (Base DN) dla domeny lokalnej lub określonej jednostki organizacyjnej z domeny lokalnej – zapisana w notacji LDAP (np. DC=rublondemo,DC=local).
Exchange ServerOdznacz.
Bind TypeRegular
UsernameWprowadź Bind DN użytkownika, który ma prawa odczytu na serwerze LDAP(S).
PasswordWprowadź hasło użytkownika zdefiniowanego przez Bind DN.
Secure ConnectionZaznacz, jeśli używasz protokołu LDAPS.

5. Możesz teraz sprawdzić konfigurację za pomocą przycisków Test Connectivity i Test User Credentials. Kliknięcie Test Connectivity sprawdzi połączenie usługi FortiGate z usługą Rublon Authentication Proxy, a kliknięcie Connection Status pokaże, czy połączenie się powiodło, czy nie.

Konfiguracja grupy użytkowników

1. Kliknij User & Authentication po lewej stronie, aby rozwinąć tę sekcję, a następnie kliknij User Groups.

NameRublon
TypeFirewall

3. Kliknij przycisk Add w sekcji Remote Groups. W Add Group Match wybierz zdalny serwer Rublon Authentication Proxy. Nie musisz określać grupy. Kliknij OK, aby dodać serwer zdalny.

4. Kliknij OK, aby zapisać ustawienia grupy użytkowników.

5. Jeśli używasz serwera LDAP (np. Active Directory) w usłudze Rublon Authentication Proxy, dodanie grupy użytkowników za pomocą graficznego interfejsu użytkownika (GUI) nie jest wystarczające. Konieczne jest wykonanie następujących kroków, aby zmapować DN grupy usługi AD za pomocą CLI.

Po zapisaniu ustawień grupy, kliknij Edit, następnie kliknij Edit in CLI, po czym wykonaj następujące polecenia:

set member NAME_OF_THE_SERVER_FROM_LDAP_SERVERS
config match
edit 1
set server-name NAME_OF_THE_SERVER_FROM_LDAP_SERVERS
set group-name DN_OF_THE_GROUP_FROM_AD
next
end
end

Możesz zamknąć konsolę i odświeżyć stronę. Teraz mapowanie na DN grupy AD powinno być widoczne.

Uwaga

Jeśli użytkownik posiada dwa konta o tej samej nazwie w systemie FortiGate – jedno to konto użytkownika przeznaczone do połączeń VPN, a drugie to konto do administracji (zdefiniowane w System → Administrators) – i oba konta uwierzytelniają się przez zewnętrznego dostawcę tożsamości (IdP), to po wdrożeniu usługi Rublon Authentication Proxy należy przełączyć takie konto administracyjne na uwierzytelnianie lokalne (System → Administrators → Edit Administrator → ustawić Type na Local User).

Pozostawienie uwierzytelniania konta admina przez zewnętrznego dostawcę tożsamości doprowadzi do sytuacji, w której połączenia VPN takiego użytkownika nie będą wymagały drugiego składnika uwierzytelniania. Stanie się tak, ponieważ FortiGate będzie widział dwa konta o tej samej nazwie w tym samym źródle. Jeśli konto administracyjne (z taką samą nazwą) jest również skonfigurowane w zewnętrznym IdP i nie wymaga MFA, FortiGate zakończy logowanie już po uzyskaniu pozytywnej odpowiedzi z tego konta – zanim jeszcze zakończy się proces uwierzytelniania z usługi Rublon Proxy (który trwa dłużej, bo np. czeka na potwierdzenie w aplikacji Rublon Authenticator). Przełączenie konta admina na Local User sprawia, że FortiGate nie szuka już alternatywnego źródła tożsamości dla tego samego loginu, dzięki czemu połączenie VPN zawsze wymaga podania drugiego składnika uwierzytelniania.

Konfiguracja polityk i mapowania zapory sieciowej

1. Skonfiguruj tunel SSL VPN, jeśli jeszcze tego nie zrobiono.

2. Kliknij pozycję Policy & Objects po lewej stronie, aby ją rozwinąć i wybierz IPV4 Policy.

Uwaga: W niektórych przypadkach zamiast polityki IPV4 dostępna będzie opcja Firewall Policy.

3. Utwórz lub edytuj politykę związaną z interfejsem SSL-VPN.

4. W polu Source dodaj utworzoną wcześniej przestrzeń adresową (np. SSLVPN_TUNNEL-ADDR1) i grupę (Rublon).

5. Kliknij OK, aby zapisać zmiany.

6. Kliknij pozycję VPN po lewej stronie, aby ją rozwinąć i wybierz SSL-VPN Settings.

7. Przejdź do sekcji Authentication/Portal Mapping.

8. Utwórz nowe lub edytuj istniejące mapowanie, aby przyznać dostęp do utworzonej wcześniej grupy. Jeśli wymagania nie są inne, zezwól na pełny dostęp (full-access).

9. Kliknij OK, a następnie Apply, aby zapisać zmiany.

Konfiguracja limitu czasu i dodatkowych opcji

Domyślny limit czasu w urządzeniu Fortinet wynosi 5 sekund. Jest to zbyt krótko okres czasu na uwierzytelnienie, może z wyjątkiem metody Kod dostępu. Musisz zwiększyć limit czasu w interfejsie wiersza poleceń Fortinet. Zalecamy zwiększenie limitu czasu do co najmniej 180 sekund.

1. Połącz się z interfejsem wiersza poleceń (CLI) urządzenia. Jeśli potrzebujesz więcej informacji, zapoznaj się z dokumentacją dołączoną do urządzenia Fortinet.

2. Wykonaj następujące polecenia:

config system global
set remoteauthtimeout 60
set ldapconntimeout 60000
end
  • remoteauthtimeout: Ten czas jest określony w sekundach.
  • ldapconntimeout: Ten czas jest określony w milisekundach.

Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi Fortinet FortiGate SSL VPN zintegrowanego za pośrednictwem protokołu LDAP(S)

Usługa Rublon MFA dla FortiGate SSL VPN obsługuje zarówno logowanie przez przeglądarkę internetową, jak i klienta FortiClient VPN. Chociaż ten przykład przedstawia logowanie do usługi Fortinet FortiGate SSL VPN za pośrednictwem przeglądarki internetowej, możliwe jest również kliknięcie Launch FortiClient i użycie klienta FortiClient VPN do zalogowania się.

Metoda uwierzytelniania Powiadomienie mobilne została ustawiona jako drugi czynnik w konfiguracji usługi Rublon Authentication Proxy (Parametr AUTH_METHOD został ustawiony na Push).

1. Otwórz stronę logowania Fortinet FortiGate SSL VPN w swojej przeglądarce.

2. Podaj nazwę użytkownika i hasło i kliknij Login.

3. Otrzymasz żądanie uwierzytelniania na swój telefon

4. Wybierz ZATWIERDŹ.

5. Nastąpi połączenie z VPN-em.

Rozwiązywanie problemów z uwierzytelnianiem MFA dla usługi Fortinet FortiGate SSL VPN przy użyciu protokołu LDAP(S)

Jeśli napotkasz jakiekolwiek problemy z integracją Rublon, skontaktuj się z pomocą techniczną Rublon Support.

Powiązane posty

Rublon Authentication Proxy

Rublon Authentication Proxy – Integracje