• Startseite
• App-Integrationen
• MFA-Integrationen
• Multi-Faktor-Authentifizierung (MFA) für Fortinet Fortigate VPN

Wie richte ich MFA für Fortinet Fortigate VPN ein?

---

Multi-Faktor-Authentifizierung oder MFA bietet eine zusätzliche Authentifizierungsebene über Ihrem Fortinet Fortigate SSL VPN, um die Sicherheit Ihres Fortinet-Client-VPN-Zugriffs zu gewährleisten. Verschiedene Authentifizierungsmethoden sind mit miniOrange Fortinet FortiGate MFA verfügbar, um den Zugriff auf Benutzerkonten zu sichern.

Fortinet VPN bietet Netzwerksicherheit für die Systeme Ihrer Benutzer und bringt sicherer Fernzugriff Zu Ihrem internen Netzwerk. Die Zwei-Faktor-Authentifizierung mit Fortinet VPN bietet hochzuverlässige Sicherheit durch die Verwendung des miniOrange MFA-Produkts für sicheren Fernzugriff. RADIUS in Fortinet wird für die Kommunikation mit miniOrange verwendet. Die Anwendung von FortiClient MFA bei der Einrichtung von Fortinet VPN ist mit dieser ausführlichen Anleitung ganz einfach.

miniOrange MFA/2FA-Authentifizierung für Fortinet-Login

miniOrange erreicht dies, indem es als RADIUS-Server fungiert, der den Benutzernamen/das Passwort des Benutzers akzeptiert, der als RADIUS-Anforderung eingegeben wurde, und den Benutzer anhand des Benutzerspeichers als Active Directory (AD) validiert. Nach der ersten Authentifizierungsebene fordert miniOrange den Benutzer zur Zwei-Faktor-Authentifizierung auf und gewährt bzw. widerruft den Zugriff basierend auf der Eingabe des Benutzers.

1. Die primäre Authentifizierung beginnt mit der Eingabe des Benutzernamens und des Passworts durch den Benutzer für Fortinet.
2. Die Benutzeranfrage fungiert als Authentifizierungsanfrage zum RADIUS-Server (miniOrange).
3. miniOrange RADIUS-Server übergibt Benutzeranmeldeinformationen zur Überprüfung anhand der im AD (Active Directory)/in der Datenbank gespeicherten Anmeldeinformationen.
4. Sobald die erste Authentifizierungsebene des Benutzers validiert ist AD sendet die Bestätigung an den RADIUS-Server.
5. Jetzt fragt der miniOrange RADIUS Server nach einem 2-Faktor-Authentifizierungs-Herausforderung für den Benutzer.
6. Hier übermittelt der Benutzer die Antwort/den Code, den er auf seiner Hardware/seinem Telefon empfängt.
7. Benutzerantwort wird auf der RADIUS-Serverseite von miniOrange überprüft.
8. Bei erfolgreichem 2. Faktor-Authentifizierung dem Benutzer wird der Zugang zum Login gewährt.

Aktivieren Sie die Multi-Faktor-Authentifizierung MFA/2FA für Fortinet

1. Fortinet in miniOrange konfigurieren

• Melden Sie sich bei miniOrange an Admin-Konsole.
• Klicken Sie auf Anpassung >> Login- und Registrierungs-Branding im linken Menü des Dashboards.
• In GrundeinstellungenStellen Sie die Name der Organisation als benutzerdefinierter Domänenname.
• Klicke Gespeichert. Sobald dies festgelegt ist, hat die Marken-Anmelde-URL das Format https://<custom_domain>.xecurify.com/moas/login



• Gehe zu Apps, Und klicken Sie auf Anwendung hinzufügen .



• In Wählen Sie Anwendung, wählen RADIUS (VPN) aus der Dropdown-Liste „Anwendungstyp“.



• Klicken Sie auf Fortinet Registerkarte Anwendung. Wenn Sie Ihre Anwendung nicht finden, klicken Sie auf Radius-Client Registerkarte "Anwendungen".



• Klicken Sie auf „RADIUS-IPs anzeigen“ um die Radius-Server-IPs zu erhalten.



• Kopieren und speichern Sie die Radius-Server-IP, die zum Konfigurieren Ihres Radius-Clients erforderlich ist.



• Konfigurieren Sie die folgenden Details, um Radius Client hinzuzufügen.




Display Name:	Ein beliebiger Name zu Ihrer Referenz.
Client-IP:	IP-Adresse des VPN-Servers, der die Radius-Authentifizierungsanforderung sendet.
Geteiltes Geheimnis:	Sicherheitsschlüssel. Für zB. "geteiltes Geheimnis" (Behalten Sie dies bei sich, Sie müssen dasselbe auf dem VPN-Server konfigurieren).

• Klicke Nächster.
• Unter dem Attributzuordnungen Aktivieren Sie auf der Registerkarte den Schalter, wenn Sie als Antwort benutzerdefinierte Attribute senden möchten.



• Um Gruppen als Antwort zu senden, können Sie die ID der Lieferantengruppenattribute in der folgenden Tabelle nachsehen.
  

  Herstellername	Lieferantenattribut	Werttyp	Attribut
  Cisco ASA	ASA-Gruppenpolitik	Mitglied	Groups
  Fortinet	Fortinet-Gruppenname	Mitglied	Groups
  Palo Alto	PaloAlto-Benutzergruppe	Mitglied	Groups
  SonicWall	Sonicwall-Benutzergruppe	Mitglied	Groups
  Citrix	Citrix-Benutzergruppen	Mitglied	Groups
  Standard (Kann verwendet werden, wenn Ihr Anbieter nicht in der Liste ist)	Filter-ID	Mitglied	Groups

• Werttyp und Attribut können je nach Bedarf geändert werden.
• Klicken Sie auf Nächster fortfahren.
• Navigieren Richtlinien Registerkarte und klicken Sie auf Richtlinie hinzufügen .



• Konfigurieren Sie die folgenden Richtliniendetails für den Radius-Client.




Gruppenname:	Gruppe, für die die Richtlinie gilt.
Versicherungsname:	Jeder Bezeichner, der den Richtliniennamen angibt.
Erster Faktor	Anmeldemethode für die Benutzer, die dieser Richtlinie zugeordnet sind.
Aktivieren Sie die 2-Faktor-Authentifizierung	Aktiviert den zweiten Faktor während der Anmeldung für Benutzer, die dieser Richtlinie zugeordnet sind.
Adaptive Authentifizierung aktivieren	Aktiviert die adaptive Authentifizierung für die Anmeldung von Benutzern, die dieser Richtlinie zugeordnet sind.

• Nachdem Sie die oben angegebenen Details konfiguriert haben, klicken Sie auf Anfrage senden .
Hinweis: Sie können folgen dem Leitfaden, wenn Sie Radius MFA mit dem MSCHAPv2-Protokoll konfigurieren möchten.

Anmerkungen: Bis XNUMX wird sich der On-Premise Version: Befolgen Sie die nachstehenden Schritte, bevor Sie die Konnektivität testen.



Nur für die On-Premise-Version

Öffnen Sie die Firewall-Ports.

• Um die RADIUS-Anfrage zu erhalten, ist es notwendig, Offener UDP-Verkehr an Häfen 1812 und 1813 zur Verfügung für die Maschine, auf der On-Premise IdP bereitgestellt wird.
• Handelt es sich bei der Host-Maschine um eine Windows Maschine dann können Sie folgen fehlen uns die Worte. Dokument.
• Handelt es sich bei der Host-Maschine um eine Linux Maschine dann können Sie folgen fehlen uns die Worte. Dokument.

Anmerkungen: Wenn Ihre Maschine auf AWS gehostet wird, aktivieren Sie die Ports vom AWS-Panel aus.

2. RADIUS in Fortinet konfigurieren

• Melden Sie sich bei Fortinet FortiGate an Admin-Konsole für die VPN-Anwendung.
• Gehe zu Benutzer & Gerät >> RADIUS-Server in der linken Navigationsleiste und klicken Sie auf Neu erstellen.



• Hier müssen Sie konfigurieren die Radius-Server.



• Konfigurieren Sie die Details unten, um den Radius-Server hinzuzufügen.

Name	Passender NameBeispiel: mo-radius-server
Authentifizierungsmethode	Klicken Sie auf Angeben und dann auswählen BREI im Dropdown.
Primäre Server-IP/Name	Für die On-Premise-Version: IP des Servers, auf dem IDP (miniOrange) installiert ist Für die Cloud-Version: Verwenden Sie die Radius Server IPs, die Sie erhalten haben von Step1.
Primärer Server-Geheimtipp	Geheimer Schlüssel für die Fortinet (RADIUS) App, definiert in Schritt 1
Sekundärserver-IP/Name	Optional
Sekundärer Server-Geheimtipp	Optional

• Zu Gespeichert diese Einstellungen klicken Sie auf OK.

Testen Sie die Fortinet Fortigate-Konnektivität

• Sie können nun die Konnektivität überprüfen, indem Sie auf Testen Sie die Konnektivität.

Erstellen einer Benutzergruppe in Fortinet Fortigate

• Anmerkungen: Wenn Sie eine vorhandene Benutzergruppe haben, fügen Sie einfach den miniOrange Radius Server als Remote-Server hinzu. Wenn nicht, befolgen Sie die folgenden Schritte.
• Auswählen Benutzer & Gerät >> Benutzer >> Benutzergruppen.
• Um eine neue Gruppe zu erstellen, klicken Sie auf Neu erstellen.



• Auswählen Firewall in Typ. Klicken Sie auf Speichern im Abschnitt „Remote-Gruppe“ und wählen Sie miniOrange Radius Server als Remote-Server.



• Klicken Sie auf Ok.

Richten Sie VPN in der Fortigate-Admin-Konsole ein.

IPSec-VPN

SSL VPN

• Erstellen Sie IPSec-Tunnel Verwenden Sie den IPSec-Assistenten, wenn Sie keinen Tunnel konfiguriert haben. Mehr Info um mehr zu erfahren.
• Auswählen VPN >> IPSec-Tunnel und wählen Sie den von Ihnen konfigurierten IPSec-Tunnel aus.



• Klicken Sie auf In benutzerdefinierten Tunnel konvertieren wenn der Tunnel kein benutzerdefinierter Tunnel ist.



• Klicken Sie auf Bearbeiten Schaltfläche für XAuth .
• Auswählen PAP-Server im Dropdown-Menü „Typ“.



• Wähle aus Anwender-Gruppe konfiguriert in Schritt 4 im Dropdown-Menü „Benutzergruppe“.



• Klicken Sie auf Ok.

• Richten Sie zunächst ein SSL-VPN ein. Klicken Sie auf . .
• Navigieren Richtlinien und Objekte >> IPV4-Richtlinie.
  Anmerkungen: In manchen Fällen wird es nur Firewall-Richtlinie Option anstelle von IPV4-Richtlinie
• Erstellen/bearbeiten Sie die Richtlinie für Ihre SSL-VPN-Schnittstelle.
• Bearbeiten Sie die Quelle, fügen Sie den erforderlichen Adressraum und die Gruppe hinzu, die wir in Schritt 4.



• Klicke OK zu Bewerben und sparen Einstellungen.
• Als Nächstes definieren wir die Authentifizierung/Portalzuordnung.
• Navigieren VPN >> SSL-VPN-Einstellungenund gehen Sie dann zum Abschnitt Authentifizierung/Portalzuordnung
• Erstellen Sie eine neue oder bearbeiten Sie eine vorhandene Zuordnung, um Zugriff auf die Firewall-Benutzergruppe zu gewähren, die wir in Schritt 4.



• Klicke Bewerben und speichern Sie die Einstellungen.

Konfigurieren Sie das Fortinet-Timeout mit dem miniOrange RADIUS-Server

• Fortinet Fortigate Standard Timeout beträgt 5 Sekunden, das ist unzureichend beim Einrichten von MFA. Wir müssen neu konfigurieren das Timeout für 30 Sekunden.
• Stellen Sie also eine Verbindung zur CLI des Geräts her.
• Und führen Sie die folgenden Befehle in der Befehlszeile aus: #config system global #set remoteauthtimeout 30 #end

3. Konfigurieren Sie Ihr Benutzerverzeichnis

miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, Microsoft Entra ID, OpenLDAP, Google, AWS Cognito usw.), Identitätsanbieter (wie Okta, Shibboleth, Ping, OneLogin, KeyCloak), Datenbanken (wie MySQL, Maria DB, PostgreSQL) und viele mehr. Sie können Ihr vorhandenes Verzeichnis/Ihren vorhandenen Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.

AD/LDAP als Benutzerverzeichnis einrichten

Einrichten von miniOrange als Benutzerverzeichnis

Konfigurieren Sie Ihre vorhandenen Verzeichnisse wie Microsoft Active Directory, Microsoft Entra ID, OpenLDAP usw.

• Klicken Sie auf Identitätsanbieter >> Identitätsanbieter hinzufügen im linken Menü des Dashboards.



• Wählen Sie unter „Identitätsanbieter auswählen“ AD/LDAP-Verzeichnisse aus dem Dropdown.



• Dann suchen Sie nach AD/LDAP und klicke es an.



• LDAP-KONFIGURATION IN MINIORANGE SPEICHERN: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in miniOrange behalten möchten. Befindet sich das Active Directory hinter einer Firewall, müssen Sie die Firewall öffnen, um eingehende Anfragen an Ihr AD zuzulassen.
• SPEICHERN SIE DIE LDAP-KONFIGURATION VOR ORT: Wählen Sie diese Option, wenn Sie Ihre Konfiguration in Ihrem Gebäude behalten und nur den Zugriff auf AD innerhalb des Gebäudes zulassen möchten. Sie müssen herunterladen und installieren miniOrange-Gateway auf Ihrem Gelände.




• Geben Sie LDAP ein Display Name und Identifizieren Namen.
• Auswählen Verzeichnistyp as Active Directory.
• Geben Sie die LDAP-Server-URL oder IP-Adresse für das LDAP ein Server-URL Feld.
• Klicken Sie auf Verbindung testen Klicken Sie auf die Schaltfläche, um zu überprüfen, ob die Verbindung mit Ihrem LDAP-Server.



• Gehen Sie in Active Directory zu den Eigenschaften von Benutzercontainern/OUs und suchen Sie nach dem Distinguished Name-AttributDas Bind-Konto sollte über die erforderlichen Mindestleseberechtigungen in Active Directory verfügen, um Verzeichnissuchen zu ermöglichen. Wenn der Anwendungsfall die Bereitstellung umfasst (z. B. Erstellen, Aktualisieren oder Löschen von Benutzern oder Gruppen), muss dem Konto auch die entsprechenden Schreibberechtigungen erteilt werden.



• Geben Sie das gültige Kennwort für das Bind-Konto ein.
• Klicken Sie auf Testen der Anmeldeinformationen für das Bind-Konto Schaltfläche, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.



• Suchbasis ist die Stelle im Verzeichnis, an der die Suche nach einem Benutzer beginnt. Sie erhalten diese von derselben Stelle, an der Sie Ihren Distinguished Name haben.



• Wählen Sie einen geeigneten Suchfilter aus dem Dropdown-Menü. Wenn Sie Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind. Um benutzerdefinierte Suchfilter zu verwenden, wählen Sie „Schreiben Sie Ihren benutzerdefinierten Filter“ Option und passen Sie sie entsprechend an.



• Klicken Sie auf Nächster oder gehen Sie zum Anmeldeoptionen Tab.
• Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf das Nächster Schaltfläche, um einen Benutzerspeicher hinzuzufügen.




Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.

Attribut	Beschreibung
Aktivieren Sie LDAP	Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
Fallback-Authentifizierung	Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
Administratoranmeldung aktivieren	Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
Benutzern IdP anzeigen	Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
Benutzer in miniOrange synchronisieren	Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt



• Klicken Sie auf Nächster oder gehen Sie zum Attribute Tab.

Attributzuordnung aus AD

• Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Gespeichert Schaltfläche. Um zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:

  An SP gesendeter Attributname = Organisation
  Attributname vom IDP = Unternehmen






• Klicken Sie auf Nächster oder gehen Sie zum Provisioning Tab.

Benutzerimport und Provisionierung aus AD

• Wenn Sie die Bereitstellung einrichten möchten, bitte hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.

Testverbindungen

• Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Verbindung testen.



• Es wird ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort einzugeben, um Ihre LDAP-Konfiguration zu überprüfen.



• On Erfolgreich Bei der Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.

Testen Sie die Attributzuordnung

• Sie sehen eine Liste der Verzeichnisse unter Identitätsanbieter. Wählen Sie im Dropdown-Menü aus AD/LDAP-Verzeichnisse, suchen Sie nach Ihrem konfigurierten Verzeichnis, klicken Sie auf die drei Punkte daneben und wählen Sie Testen Sie die Attributzuordnung.



• Ein Popup wird angezeigt, in dem Sie einen Benutzernamen eingeben und auf klicken können. Test.



• Das Ergebnis der Testattributzuordnung wird angezeigt.

Die Konfiguration „AD als externes Verzeichnis einrichten“ ist abgeschlossen.

Hinweis: Verweisen Sie auf unsere Guide um LDAP auf einem Windows-Server einzurichten.

• Um Ihre Benutzer in miniOrange hinzuzufügen, gibt es zwei Möglichkeiten:

1. Benutzer in miniOrange erstellen

2. Massen-Upload von Benutzern

1. Benutzer in miniOrange erstellen

• Klicken Sie auf Benutzer >> Benutzerliste >> Benutzer hinzufügen.



• Füllen Sie hier die Benutzerdaten ohne Passwort aus und klicken Sie anschließend auf Benutzer erstellen .



• Nach erfolgreicher Benutzererstellung wird eine Benachrichtigungsmeldung angezeigt „Ein Endbenutzer wurde erfolgreich hinzugefügt“ wird oben im Dashboard angezeigt.



• Klicken Sie auf Registerkarte „Onboarding-Status“. Überprüfen Sie die E-Mail mit der registrierten E-Mail-ID und wählen Sie Aktion Aktivierungsmail mit Link zum Zurücksetzen des Passworts senden von Aktion auswählen Dropdown-Liste und klicken Sie dann auf Bewerben .



• Öffnen Sie nun Ihre E-Mail-ID. Öffnen Sie die E-Mail, die Sie von miniOrange erhalten haben, und klicken Sie dann auf Link um Ihr Kontopasswort festzulegen.
• Geben Sie auf dem nächsten Bildschirm das Passwort ein und bestätigen Sie das Passwort. Klicken Sie dann auf Single Sign-On (SSO) Kennwort zurücksetzen .



• Jetzt können Sie sich durch Eingabe Ihrer Anmeldeinformationen beim MiniOrange-Konto anmelden.

2. Massenupload von Benutzern in miniOrange durch Hochladen einer CSV-Datei.

• Navigieren Benutzer >> Benutzerliste. Klicken Sie auf Benutzer hinzufügen .



• Massenregistrierung von Benutzern Beispiel-CSV-Format herunterladen von unserer Konsole aus und bearbeiten Sie diese CSV-Datei gemäß den Anweisungen.



• Um Benutzer in großen Mengen hochzuladen, wählen Sie die Datei aus und stellen Sie sicher, dass sie in Komma-getrenntes CSV-Dateiformat Klicken Sie dann auf Hochladen.



• Nach dem erfolgreichen Hochladen der CSV-Datei wird Ihnen eine Erfolgsmeldung mit einem Link angezeigt.
• Klicken Sie auf diesen Link. Sie sehen eine Liste der Benutzer, denen eine Aktivierungsmail gesendet werden soll. Wählen Sie Benutzer aus, denen eine Aktivierungsmail gesendet werden soll, und klicken Sie auf „Aktivierungsmail senden“. Eine Aktivierungsmail wird an die ausgewählten Benutzer gesendet.

Benutzergruppen erstellen (empfohlen)

AD-Benutzergruppe

miniOrange-Benutzergruppe

• Dieser Schritt umfasst das Importieren und Bereitstellen der Benutzergruppe aus dem Active Directory.
• Gehe zu Provisioning. Wechseln zu Einrichten der Bereitstellung Registerkarte, und wählen Sie Active Directory aus dem Dropdown-Menü.



• Auswählen Bereitstellung/Entfernung von Gruppen und aktivieren Sie Gruppe importieren .
• Geben Sie die Basis-DN für die Gruppensynchronisierung und klicken Sie auf Gespeichert.



• Wenn Sie Benutzer dynamisch den im miniOrange vorhandenen Gruppen zuordnen möchten, aktivieren Sie "Benutzer Gruppen zuweisen"



• Wechseln Sie jetzt zu Gruppen importieren Option und wählen Sie Active Directory aus dem Sie Ihre Benutzer importieren möchten.
• Abschließend klicken Sie auf Import Schaltfläche. Ihre Gruppe wird importiert.




(Die Einrichtung der Active Directory-Gruppenbereitstellung (Synchronisierung) ist abgeschlossen. Wenn jetzt ein Benutzer auf dem LDAP-Server erstellt oder geändert wird und die Option „Benutzer Gruppen zuweisen“ aktiviert ist, wird das Benutzergruppenattribut vom LDAP-Server automatisch synchronisiert und die Benutzergruppe wird in miniOrange entsprechend zugewiesen oder geändert.)

• Auswählen Gruppen >> Gruppen verwalten vom linken Bereich.
• Klicken Sie auf Gruppe erstellen Knopf oben.



• Geben Sie einen entsprechenden Gruppenname und klicken Sie auf Gruppe erstellen.



• In diesem Handbuch haben wir eine Gruppe nach Namen erstellt VPN_Gruppe.
• Weisen Sie der Gruppe verschiedene Mitglieder zu, indem Sie Benutzer zuweisen Option, die der Gruppe in der Gruppenliste zugeordnet ist.



• Wählen Sie die Benutzer aus, die dieser Gruppe zugewiesen werden müssen. Wählen Sie dann Zu Gruppe zuweisen Wählen Sie im Dropdown-Menü „Aktion auswählen“ die gewünschte Aktion aus und klicken Sie auf die Schaltfläche „Übernehmen“.



• Diese Gruppen werden hilfreich sein, um mehrere 2FA-Richtlinien zu den Anwendungen.

4. MFA für Fortinet einrichten

• Hier werden wir Konfigurieren einer Richtlinie für die Benutzergruppe, die wir in dieser Schritt und verknüpfen Sie es mit der Fortinet VPN-Anwendung.
• Klicken Sie auf Richtlinien >> App-Anmelderichtlinie.



• Klicken Sie auf Richtlinie hinzufügen .
• Wählen Sie im Abschnitt Anwendung die RADIUS App die wir zuvor in Schritt 1 konfiguriert haben.
• Wählen Sie die gewünschte Benutzergruppe in Gruppenname und geben Sie die Versicherungsname.
• In dieser Anleitung konfigurieren wir einen Nur Passwort Politik für "VPN_Gruppe", sodass nur die Mitglieder der VPN-Gruppe ohne zweiten Faktor auf VPN-Dienste zugreifen können.
• Wenn Sie mit den Richtlinieneinstellungen fertig sind, klicken Sie auf Anfrage senden um Richtlinie hinzuzufügen.

5. Testen Sie Fortinet MFA

• Laden Sie FortiClient herunter von www.forticlient.com.
• Öffnen Sie die FortiClient-Konsole und gehen Sie zu Remote Access > Konfigurieren Sie VPN.
• Fügen Sie eine neue Verbindung hinzu:
• Legen Sie den Verbindungsnamen fest.
• Stellen Sie das Remote-Gateway auf .
• Wählen Sie „Port anpassen“ und stellen Sie ihn auf 10443 ein.
• Speichern Sie Ihre Einstellungen.
• Melden Sie sich bei Forticlient an und geben Sie ein Benutzername und Passwort.



• Sie werden aufgefordert, eine Zweiter Faktorcode wenn Sie die Zwei-Faktor-Authentifizierung in der miniOrange-Richtlinie aktiviert haben.



• Geben Sie Ihre 2-Faktor-Code und Sie sollten mit dem VPN verbunden sein.
• Anmerkungen: Beim Konfigurieren IPSec-VPN Verbindung in FortiClient verwenden Sie unbedingt die Geteilter Schlüssel des IPSec-Tunnels, der erstellt wurde LASTFortinet hat Probleme, wenn mehrere IPSec-Tunnel gleichzeitig vorhanden sind FortiGate Server.
• Nach Eingabe der gültigen Anmeldeinformationen wird der folgende Bildschirm angezeigt:



• Wenn Sie einen falschen Wert eingeben, werden Sie zum folgenden Bildschirm weitergeleitet.

Problemlösung

Weitere Referenzen

• Was ist Zwei-Faktor-Authentifizierung (MFA)-Sicherheit und wie funktioniert sie?
• Sichern Sie Infrastruktur-Netzwerkgeräte mit MFA
• Wie stellt miniOrange MFA für alle VPN-Clients bereit?
• Was ist adaptive Multi-Faktor-Authentifizierung?
• Was ist LDAP MFA? Wie funktioniert es?
• Essenzielle 8 Sicherheitskonformität