FortiGate VPN の AD連携認証
FortiGateでリモートアクセスVPNの接続の際にActive Directoryの情報を参照して認証を行なうようにする設定の手順
(SSL-VPNの基本的な設定手順は省略してます)
この記事のコンテンツ
LDAPサーバーの登録
FortiGateにドメコンを登録する
ユーザー&デバイス>LDAPサーバー>新規作成
- 名前:任意のサーバー名称
- サーバーIP/名前:ドメインコントローラーのIPかFQDN
- サーバーポート:389
- コモンネーム:sAMAccountName (ADアカウント名を使用する場合)
- 識別名:DC=ad,DC=sample,DC=jp (ADドメイン名がad.sample.jpの場合)(OUは必須ではない)
- ユーザー名:AD情報へアクセスする権限を持ったADアカウント名
- セキュアな接続:有効にする場合は証明書が必用
ユーザーグループの作成
アクセスポリシーのキーとなるユーザーグループを作成する
ユーザー&デバイス>ユーザーグループ>新規作成
- 名前:任意のグループ名(例:VPNG_AD_Eigyobu)
- タイプ:ファイアウォール
- メンバー:選択しない
- リモートグループ:[追加]>先に作成したLDAPサーバーを選択>ドメインを展開して登録したいアカウントが所属しているOUまたはコンテナ、セキュリティグループを右クリックして「全て追加」または「選択したものを追加」(複数のOUやグループを選択可能)
ここで追加したOU、コンテナ、セキュリティグループに所属しているメンバーならばVPN接続ができる、ということになります。
IPプールの作成
詳細は省略。VPNクライアントソフトの仮想NICに割当てるIPアドレスを設定する。
SSL-VPNポータルの作成
詳細は省略。必要に応じてスプリットトンネルやブックマークを設定する。
ユーザーグループとポータルのマッピング
先に作成したユーザーグループにポータルをマッピングする
VPN > SSL-VPN設定 > 認証/ポータルマッピング
ポリシーの作成
先に作成したユーザーグループからアクセスを許可する宛先やサービスを設定します。
VPN接続操作
ユーザー名にドメイン情報を付加する必用はない。パスワードはもちろんADのパスワードを入力する。
二要素認証も組み合わせる場合
二要素認証(FortiToken)を使用したい場合は、ユーザー定義が必用
- ユーザー名:ADと合わせる
- ユーザータイプ:リモートLDAPユーザ
- LDAPサーバ:登録したサーバを選択
- Eメール:任意
- ユーザーグループ:作成したユーザーグループを選択
- 二要素認証:トークンを選択
ディスカッション
コメント一覧
まだ、コメントがありません