FortiGate VPN の AD連携認証

FortiGate

FortiGateでリモートアクセスVPNの接続の際にActive Directoryの情報を参照して認証を行なうようにする設定の手順
(SSL-VPNの基本的な設定手順は省略してます)

LDAPサーバーの登録

FortiGateにドメコンを登録する

ユーザー&デバイス>LDAPサーバー>新規作成

  • 名前:任意のサーバー名称
  • サーバーIP/名前:ドメインコントローラーのIPかFQDN
  • サーバーポート:389
  • コモンネーム:sAMAccountName (ADアカウント名を使用する場合)
  • 識別名:DC=ad,DC=sample,DC=jp (ADドメイン名がad.sample.jpの場合)(OUは必須ではない)
  • ユーザー名:AD情報へアクセスする権限を持ったADアカウント名
  • セキュアな接続:有効にする場合は証明書が必用

ユーザーグループの作成

アクセスポリシーのキーとなるユーザーグループを作成する

ユーザー&デバイス>ユーザーグループ>新規作成

  • 名前:任意のグループ名(例:VPNG_AD_Eigyobu)
  • タイプ:ファイアウォール
  • メンバー:選択しない
  • リモートグループ:[追加]>先に作成したLDAPサーバーを選択>ドメインを展開して登録したいアカウントが所属しているOUまたはコンテナ、セキュリティグループを右クリックして「全て追加」または「選択したものを追加」(複数のOUやグループを選択可能)

ここで追加したOU、コンテナ、セキュリティグループに所属しているメンバーならばVPN接続ができる、ということになります。

IPプールの作成

詳細は省略。VPNクライアントソフトの仮想NICに割当てるIPアドレスを設定する。

SSL-VPNポータルの作成

詳細は省略。必要に応じてスプリットトンネルやブックマークを設定する。

ユーザーグループとポータルのマッピング

先に作成したユーザーグループにポータルをマッピングする
VPN > SSL-VPN設定 > 認証/ポータルマッピング

ポリシーの作成

先に作成したユーザーグループからアクセスを許可する宛先やサービスを設定します。

VPN接続操作

ユーザー名にドメイン情報を付加する必用はない。パスワードはもちろんADのパスワードを入力する。

二要素認証も組み合わせる場合

二要素認証(FortiToken)を使用したい場合は、ユーザー定義が必用

  • ユーザー名:ADと合わせる
  • ユーザータイプ:リモートLDAPユーザ
  • LDAPサーバ:登録したサーバを選択
  • Eメール:任意
  • ユーザーグループ:作成したユーザーグループを選択
  • 二要素認証:トークンを選択

2020年4月24日FortiGateActive Directory,AD,LDAP,VPN

Posted by senchan