ログイン  
こんにちは!

助けが必要? 私たちはここにいます!

サポートアイコン
miniOrange メールサポート
成功

お問い合わせいただきありがとうございます。弊社のチームがすぐにご連絡させていただきます。

24時間以内に連絡がない場合は、お気軽にフォローアップメールをお送りください。 info@xecurify.com

検索結果:

×
お問合せ デモをリクエストする
見積り依頼

Fortinet Fortigate VPN に MFA を設定する方法

マルチファクタ認証 MFAは、Fortinet Fortigate SSL VPNの上に追加の認証レイヤーを提供し、FortinetクライアントVPNアクセスのセキュリティを強化します。 認証方法 ユーザー アカウント アクセスのセキュリティを確保するために、miniOrange Fortinet FortiGate MFA が利用可能です。

Fortinet VPNはユーザーのシステムにネットワークセキュリティを提供し、 より安全なリモートアクセス 社内ネットワークへの接続。Fortinet VPNと併用する二要素認証は、miniOrange MFA製品を使用した信頼性の高いセキュリティを提供し、安全なリモートアクセスを実現します。miniOrangeとの通信には、FortinetのRADIUSが使用されます。Fortinet VPNのセットアップ時にFortiClient MFAを適用する方法は、この詳細なガイドに従えば簡単です。

miniOrange MFA ソリューションでサイバー保険に準拠します。 続きを読む


フォーティネット多要素認証 (MFA)

無料のPOCを入手 - スロットを予約


miniOrange は、システム エンジニアとの相談電話を通じて無料の POC とサポートを提供し、30 日間の試用期間でお客様の環境で Fortinet VPN の多要素認証をセットアップできるようにします。

これを行うには、次のメールアドレスにメールを送信してください。 idpsupport@xecurify.com 無料の POC を入手して、すぐにソリューションの設定をお手伝いします。


無料のPOCを入手


Fortinetログイン用のminiOrange 2FA/MFA認証

miniOrange は、RADIUS 要求として入力されたユーザーのユーザー名/パスワードを受け入れ、Active Directory (AD) としてのユーザー ストアに対してユーザーを検証する RADIUS サーバーとして機能することでこれを実現します。最初のレベルの認証の後、miniOrange はユーザーに 2 要素認証を要求し、ユーザーの入力に基づいてアクセスを許可または取り消します。


Fortinet の MFA

  1. プライマリ認証は、ユーザーがユーザー名とパスワードを送信することで開始されます。 フォーティネット.
  2. ユーザーリクエストは、 認証リクエスト RADIUS サーバー (miniOrange) へ。
  3. miniOrange RADIUS サーバー ユーザー資格情報を渡して、AD (Active Directory) / データベースに保存されている資格情報と照合して検証します。
  4. ユーザーの最初のレベルの認証が検証されると ADはRADIUSサーバーに確認を送信します.
  5. miniOrange RADIUSサーバーは、 2要素認証チャレンジ ユーザに提供する。
  6. ここで、ユーザーはハードウェア/電話で受信した応答/コードを送信します。
  7. ユーザーの応答 miniOrange の RADIUS サーバー側でチェックされます。
  8. 成功した場合 第二要素認証 ユーザーにログイン権限が付与されます。

外部ディレクトリに接続


miniOrangeはさまざまなユーザー認証を提供します 外部ディレクトリ など miniOrange ディレクトリ, マイクロソフト広告, Microsoft Entra ID/LDAP, AWSコグニート および さらに多くの.

ディレクトリが見つからない場合はお問い合わせください idpsupport@xecurify.com




Fortinet の多要素認証 2FA/MFA を有効にする

1. miniOrangeでFortinetを構成する

  • miniOrangeにログイン 管理コンソール.
  • ソフトウェアの制限をクリック カスタマイズ >> ログインと登録のブランディング ダッシュボードの左側のメニューにあります。
  • In 基本設定、 をセットする 組織名 custom_domain 名として。
  • 詳しくはこちら Save設定すると、ブランドログインURLは次の形式になります。 https://<custom_domain>.xecurify.com/moas/login
    • Fortinet の多要素認証: ブランディングの設定

  • に行く アプリ、をクリックします アプリケーションを追加
    • Fortinet の MFA: アプリケーションの追加

  • In アプリケーションを選択、 select RADIUS (VPN) アプリケーション タイプのドロップダウンから選択します。
    • Fortinet の 2 要素認証 (XNUMXFA): Radius アプリケーションの作成

  • ソフトウェアの制限をクリック フォーティネット アプリケーションタブ。アプリケーションが見つからない場合は、 Radius クライアント アプリケーションタブ。
    • FortinetのMFA: Radiusクライアントをクリック

  • ソフトウェアの制限をクリック 「RADIUS IP を表示」 Radius サーバーの IP を取得します。
    • Fortinet の 2FA: ドキュメント セクション

  • Radius クライアントを構成するために必要な Radius サーバー IP をコピーして保存します。
    • Fortinet の 2FA/MFA: Radius サーバー IP

  • Radius クライアントを追加するには、以下の詳細を設定します。
    • Fortinet の 2 要素認証: Radius クライアントの追加

    名前を表示します。 参照用の名前。
    クライアント IP: Radius 認証要求を送信する VPN サーバーの IP アドレス。
    共有秘密: セキュリティキー。
    例えば 「共有シークレット」
    (これを保管してください。VPN サーバーで同じ設定を行う必要があります)。
  • 詳しくはこちら 次へ.
  • 属性マッピング タブで、応答としてカスタム属性を送信する場合は、トグルを有効にします。
    • Fortinetの多要素認証: 次へをクリック

  • 応答としてグループを送信するには、ベンダー グループ属性 ID については以下の表を参照してください。
    業者名 ベンダー属性 値型 属性
    Cisco ASA ASA グループポリシー ユーザー グループ
    フォーティネット フォーティネットグループ名 ユーザー グループ
    パロアルト PaloAlto ユーザー グループ ユーザー グループ
    SonicWall Sonicwall ユーザー グループ ユーザー グループ
    Citrix Citrix ユーザー グループ ユーザー グループ
    デフォルト(ベンダーがリストにない場合に使用できます) フィルターID ユーザー グループ
  • 値の型と属性は要件に応じて変更できます。
  • ソフトウェアの制限をクリック 次へ をクリックして次に進みます。
  • MFAデバイスに移動する 政策 タブをクリックし、 ポリシーを追加
    • FortinetのMFA: ポリシーに切り替えて、ポリシーの追加をクリックします

  • Radius クライアントの次のポリシー詳細を構成します。
    • Fortinet の MFA: Radius クライアントを選択してください

    グループ名: ポリシーが適用されるグループ。
    ポリシー名: ポリシー名を指定する任意の識別子。
    最初の要素 このポリシーに関連付けられているユーザーのログイン方法。
    2要素認証を有効にする このポリシーに関連付けられているユーザーのログイン時に 2 番目の要素を有効にします。
    適応認証を有効にする このポリシーに関連付けられているユーザーのログインに対して適応認証を有効にします。
  • 上記の詳細を設定したら、 送信する
    • 注意: あなたが従うことができます このガイドMSCHAPv2 プロトコルを使用して Radius MFA を構成する場合。

    注: オンプレミス バージョンによっては、接続をテストする前に以下の手順に従ってください。

    オンプレミス版のみ

    ファイアウォール ポートを開きます。

  • RADIUSリクエストを受信するには、 UDPトラフィックを開く ポート上 1812と1813 オンプレミス IdP がデプロイされているマシン用。
  • ホスティングマシンが Windows マシンならフォローできる この の資料をご参照ください。
  • ホスティングマシンが Linux マシンならフォローできる この の資料をご参照ください。

    • 注: マシンが AWS でホストされている場合は、AWS パネルからポートを有効にします。

2. FortinetでRADIUSを構成する

  • Fortinet FortiGateにログイン 管理コンソール VPN アプリケーション用。
  • に行く ユーザーとデバイス >> RADIUSサーバー 左のナビゲーションバーで 新規作成.
    • Fortinet VPN MFA 2FA 多要素 / 二要素認証: Radius サーバーへの切り替え

  • ここで設定する必要があるのは RADIUS サーバー.
    • Fortinet VPN MFA 2FA 多要素 / 二要素認証 App Radius サーバー構成

  • Radius サーバーを追加するには、以下の詳細を設定します。
    • お名前 適切な名前例: mo-radius-server
    認証方法 ソフトウェアの制限をクリック 指定 次に選択します PAP ドロップダウンで。
    プライマリサーバーのIP / 名前 オンプレミス版の場合: IDP(miniOrange)がインストールされているサーバーのIP
    クラウドバージョンの場合: 取得したRadiusサーバーのIPアドレスを使用します。 Step1。
    プライマリサーバーシークレット ステップ 1 で定義した Fortinet (RADIUS) アプリの秘密キー
    セカンダリサーバーのIP / 名前 オプション
    セカンダリサーバシークレット オプション
  • Save これらの設定をクリックすると OK.

Fortinet Fortigate 接続のテスト

  • クリックすると接続を確認できます 接続性のテスト.
    • Fortinet MFA 2FA 多要素 / XNUMX要素認証?>: Fortigate サーバーの接続をテストする

Fortinet Fortigateでユーザーグループを作成する

  • 注: 既存のユーザー グループがある場合は、miniOrange Radius Server をリモート サーバーとして追加するだけです。そうでない場合は、以下の手順に従ってください。
  • 選択する ユーザーとデバイス >> ユーザー >> ユーザー グループ.
  • 新しいグループを作成するには、 新規作成.
    • Fortinet MFA 2FA 多要素 / XNUMX要素認証: ユーザーグループの作成

  • 選択する ファイアウォール タイプでクリック 追加 リモートグループセクションで miniOrange Radius サーバー リモート サーバーとして。
    • Fortinet MFA 2FA マルチXNUMX要素認証: ユーザーグループ構成

  • ソフトウェアの制限をクリック Ok.

Fortigate 管理コンソールで VPN を設定します。

IPSec VPN

SSL-VPN


  • 作る IPSec トンネル トンネルが構成されていない場合は、IPSec ウィザードを使用します。 詳細 くわしくはこちらから
  • 選択する VPN >> IPSec トンネル 設定した IPSec トンネルを選択します。
    • Fortinet MFA 2FA 多要素 / XNUMX要素認証: IPSecトンネルを選択

  • ソフトウェアの制限をクリック カスタムトンネルに変換 トンネルがカスタム トンネルではない場合。
    • Fortinet MFA 2FA 多要素認証 / XNUMX要素認証: カスタムトンネルへの変換

  • ソフトウェアの制限をクリック 編集 ボタン用 XAuth のセクションから無料でダウンロードできます。
  • 選択する PAP サーバー タイプドロップダウンで。
    • Fortinet MFA 2FA 多要素認証 / XNUMX要素認証: PAPサーバーを選択

  • まず ユーザー・グループ 設定されている ステップ 4 ユーザー グループ ドロップダウンで。
    • Fortinet MFA 2FA 多要素認証/XNUMX要素認証: 構成されたユーザーグループを選択

  • ソフトウェアの制限をクリック Ok.
  • まずSSL-VPNを設定します。クリック こちらをご覧いただくか、 をご覧ください。
  • MFAデバイスに移動する ポリシーとオブジェクト >> IPV4 ポリシー.
    注: 場合によっては、 ファイアウォールポリシー IPV4ポリシーの代わりにオプション
  • SSL-VPN インターフェースに関連するポリシーを作成/編集します。
  • ソースを編集し、必要なアドレス空間と、設定したグループを追加します。 ステップ 4.
    • MFA 2FA 多要素認証 / Fortinet の XNUMX 要素認証: ファイアウォール ポリシー

  • 詳しくはこちら OK 〜へ 適用して保存する 設定。
  • 次に、認証/ポータル マッピングを定義します。
  • MFAデバイスに移動する VPN >> SSL-VPN設定認証/ポータルマッピングセクションに進みます
  • 新規マッピングを作成するか、既存のマッピングを編集して、作成したファイアウォールユーザーグループにアクセスを許可します。 ステップ 4.
    • MFA 2FA 多要素 / Fortinet の XNUMX 要素認証: 認証 / ポータル マッピング

  • 詳しくはこちら Apply 設定を保存します。

miniOrange RADIUS サーバーで Fortinet タイムアウトを構成する

  • Fortinet Fortigate デフォルト タイムアウト 5秒です。 不十分 MFAを設定する際に、 再構成する タイムアウト 30秒数.
  • アプライアンスの CLI に接続します。
  • コマンドラインで以下のコマンドを実行します。 #config system global #set remoteauthtimeout 30 #end
    • MFA 2FA 多要素/XNUMX要素認証(Fortinet用):コマンドラインインターフェイス


3. ユーザーディレクトリを構成する

miniOrangeは、さまざまな外部ソースからのユーザー認証を提供します。 ディレクトリ (ADFS、Microsoft Active Directory、Microsoft Entra ID、OpenLDAP、Google、AWS Cognito など) アイデンティティプロバイダー (Okta、Shibboleth、Ping、OneLogin、KeyCloak など) データベース (MySQL、Maria DB、PostgreSQLなど) さらに多くの既存のディレクトリ/ユーザー ストアを構成したり、miniOrange でユーザーを追加したりできます。

注意: あなたが従うことができます このガイドOAuth パスワード付与を使用して、Microsoft Entra ID に保存されているユーザーで Radius MFA を構成する場合。


AD/LDAPをユーザーディレクトリとして設定する

miniOrangeをユーザーディレクトリとして設定する


Microsoft Active Directory、Microsoft Entra ID、OpenLDAP などの既存のディレクトリを構成します。

  • ソフトウェアの制限をクリック ID プロバイダー >> ID プロバイダーの追加 ダッシュボードの左側のメニューにあります。
    • 2FA/MFA: 外部ディレクトリの設定

  • IDプロバイダーの選択で、 AD/LDAP ディレクトリ をドロップダウンから選択します。
    • 2FA/MFA: ディレクトリの種類としてAD/LDAPを選択します。

  • 次に検索 AD/LDAP それをクリックします。
    • 2FA/MFA: ディレクトリの種類としてAD/LDAPを選択します。

  • MINIORANGE に LDAP 設定を保存する: miniOrange の設定を維持する場合は、このオプションを選択してください。Active Directory がファイアウォールの背後にある場合は、AD への受信リクエストを許可するためにファイアウォールを開く必要があります。
  • LDAP 構成をオンプレミスに保存: 設定を社内に保持し、社内のADへのアクセスのみを許可する場合は、このオプションを選択します。ダウンロードしてインストールする必要があります。 miniOrange ゲートウェイ あなたの前提に基づいて。
    • 2FA/MFA: ad/ldap外部ディレクトリを選択

  • LDAPを入力してください 表示名 および 識別する 名前。
  • 選択する ディレクトリの種類 as Active Directory.
  • LDAPサーバーのURLまたはIPアドレスをLDAPに対して入力します サーバー URL フィールド。
  • 以下を行うには、 試験用接続 ボタンを押して接続が成功したかどうかを確認します LDAPサーバー.
    • 2FA/MFA: LDAP サーバーの URL 接続を構成する

  • Active Directoryで、ユーザーコンテナ/OUのプロパティに移動し、 識別名属性バインドアカウントには、Active Directory のディレクトリ参照に必要な最低限の読み取り権限が必要です。また、プロビジョニング(ユーザーまたはグループの作成、更新、削除など)を伴うユースケースの場合は、アカウントに適切な書き込み権限も付与する必要があります。
    • 2FA/MFA: ユーザーバインドアカウントのドメイン名を構成する

  • 有効なバインド アカウント パスワードを入力します。
  • 以下を行うには、 バインドアカウント資格情報のテスト LDAP 接続の LDAP バインド資格情報を確認するボタン。
    • 2FA/MFA: バインドアカウントの資格情報を確認する

  • 検索ベース ディレクトリ内でユーザーの検索が開始される場所です。識別名を取得したのと同じ場所から取得します。
    • VPN 2FA: ユーザー検索ベースを構成する

  • ドロップダウンメニューから適切な検索フィルターを選択します。 単一グループ フィルターのユーザー or 複数グループフィルターのユーザーを置き換えますグループDN> 検索フィルターに、ユーザーが所属するグループの識別名を入力します。カスタム検索フィルターを使用するには、 「カスタム フィルターを作成する」 オプションを選択し、それに応じてカスタマイズします。
    • VPN 2FA: ユーザー検索フィルターを選択

  • 以下を行うには、 次へ ボタン、またはに移動します ログインオプション タブには何も表示されないことに注意してください。
  • ADの設定時に以下のオプションを設定することもできます。有効化 LDAPをアクティブ化する AD/LDAPからユーザーを認証するには、 次へ ユーザーストアを追加するためのボタン。
    • VPN 2FA: LDAPオプションを有効にする

    以下に属性のリストと、有効にした場合の動作を示します。これに応じて有効/無効にすることができます。

    属性 詳細説明
    LDAPをアクティブ化する 有効にすると、すべてのユーザー認証はLDAP認証情報を使用して行われます。
    フォールバック認証 LDAP認証に失敗した場合、ユーザーはminiOrangeを通じて認証されます。
    管理者ログインを有効にする これを有効にすると、miniOrange管理者ログインはLDAPサーバーを使用して認証されます。
    ユーザーにIdPを表示する このオプションを有効にすると、このIdPはユーザーに表示されます
    miniOrangeでユーザーを同期する LDAP認証後、miniOrangeにユーザーが作成されます。

  • 以下を行うには、 次へ ボタン、またはに移動します Attributes タブには何も表示されないことに注意してください。

ADからの属性マッピング

  • デフォルトではuserName、firstName、lastName、emailが設定されています。下にスクロールしてクリックしてください。 Save ボタンをクリックします。Active Directoryから追加の属性を取得するには、 構成された属性を送信する左側に、アプリケーションに公開する名前を入力します。右側に、Active Directoryの属性名を入力します。例えば、Active Directoryから会社属性を取得し、それを組織名として設定済みアプリケーションに送信する場合は、次のように入力します。

    SP に送信される属性名 = 組織
    IDPからの属性名 = 会社

    • ADからの属性マッピング

    ADからの属性マッピング

  • 以下を行うには、 次へ ボタン、またはに移動します プロビジョニング タブには何も表示されないことに注意してください。

ADからのユーザーのインポートとプロビジョニング

  • プロビジョニングを設定する場合は、 ここをクリック 詳細については、こちらをご覧ください。この手順はここでは省略します。
    • 今はプロビジョニングをスキップ

接続のテスト

  • ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 試験用接続.
    • VPN 2FA: AD/Ldap接続をテストする

  • LDAP 構成を確認するためにユーザー名とパスワードの入力を求めるポップアップが表示されます。
    • VPN 2FA: ユーザー名とパスワードを入力してLDAP接続をテストします

  • On Successful: LDAP サーバーに接続すると、成功メッセージが表示されます。
    • VPN 2FA: LDAPサーバーへの接続に成功しました

テスト属性マッピング

  • ディレクトリのリストが表示されます。 アイデンティティプロバイダー。 ドロップダウンから選択します AD/LDAP ディレクトリ、設定したディレクトリを検索し、その横にある3つの点をクリックして選択します。 テスト属性マッピング.
    • VPN 2FA: 外部ディレクトリで、「選択」をクリックし、「属性マッピングのテスト」をクリックします。

  • ポップアップが表示され、ユーザー名を入力してクリックします。 ホイール試乗.
    • VPN 2FA: ユーザー名を入力して属性マッピング構成をテストします

  • テスト属性マッピング結果が表示されます。
    • VPN 2FA: ユーザーのマッピングされた属性を取得する

AD を外部ディレクトリとしてセットアップする構成が完了しました。


注意: 私たちを参照してください ガイド Windows サーバーに LDAP をセットアップします。

1. miniOrangeでユーザーを作成する

  • ソフトウェアの制限をクリック ユーザー >> ユーザーリスト >> ユーザーの追加.
    • VPN 2FA: miniOrange にユーザーを追加する

  • ここで、パスワードなしでユーザーの詳細を入力し、 ユーザーの作成
    • MFA: ユーザーの詳細を追加する

  • ユーザーの作成が成功すると通知メッセージが表示される 「エンドユーザーが正常に追加されました」 ダッシュボードの上部に表示されます。
    • 2要素認証: ユーザーの詳細を追加する

  • ソフトウェアの制限をクリック オンボーディングステータスタブ登録したメールIDでメールを確認し、アクションを選択してください パスワードリセットリンクを記載したアクティベーションメールを送信する from アクションを選択 ドロップダウンリストをクリックし、 Apply
    • 2FA: メールアクションを選択

  • さて、あなたのメールIDを開いてください。miniOrangeから受信したメールを開いて、 アカウントのパスワードを設定します。
  • 次の画面でパスワードと確認パスワードを入力し、 シングルサインオン(SSO)パスワードのリセット
    • 多要素認証: ユーザーパスワードのリセット
  • これで、資格情報を入力して miniOrange アカウントにログインできます。

2. CSV ファイルをアップロードして miniOrange にユーザーを一括アップロードします。

  • MFAデバイスに移動する ユーザー >> ユーザーリスト。 をクリックしてください ユーザーを追加する
    • 2FA: 一括アップロードでユーザーを追加する

  • 一括ユーザー登録 サンプルのcsv形式をダウンロード コンソールから、指示に従ってこの csv ファイルを編集します。
    • 2要素認証: サンプルのcsvファイルをダウンロード

  • ユーザーを一括アップロードするには、ファイルを選択し、 カンマ区切りの .csv ファイル形式 次に「アップロード」をクリックします。
    • 2FA: 一括アップロードユーザー

  • csv ファイルが正常にアップロードされると、リンクを含む成功メッセージが表示されます。
  • そのリンクをクリックすると、アクティベーション メールを送信するユーザーのリストが表示されます。アクティベーション メールを送信するユーザーを選択し、[アクティベーション メールの送信] をクリックします。選択したユーザーにアクティベーション メールが送信されます。

ユーザー グループの作成 (推奨)

AD ユーザー グループ

miniOrange ユーザーグループ


  • この手順では、Active Directory からユーザー グループをインポートし、プロビジョニングします。
  • に行く プロビジョニング。 切り替える プロビジョニングのセットアップ タブを選択 Active Directory ドロップダウンメニューから選択します。
    • Fortinet の MFA/2 要素認証 (XNUMXFA): Active Directory (AD) を選択

  • 選択する グループのプロビジョニング/デプロビジョニング タブをクリックしてオンに切り替えます インポートグループ オプションを選択します。
  • 入力する ベースDN グループ同期の場合はクリック Save.
    • Fortinet の MFA/2 要素認証 (XNUMXFA): BaseDN を入力

  • miniOrangeに存在するグループにユーザーを動的に割り当てる場合は、 「ユーザーをグループに割り当てる」
    • Fortinet の MFA/2 要素認証 (XNUMXFA): インポート グループのスイッチをオンにする

  • 今すぐに切り替えます グループのインポート オプションと選択 Active Directory ユーザーをインポートする場所。
  • 最後に、をクリックします インポート ボタンをクリックしてください。グループがインポートされます。
    • Fortinet の MFA/2 要素認証 (XNUMXFA): ユーザー グループが正常にインポートされました

    (Active Directory グループ プロビジョニング (同期) の設定が完了しました。これで、LDAP サーバーでユーザーが作成または変更されるたびに、ユーザーをグループに割り当てるが有効になっている場合は、LDAP サーバーのユーザー グループ属性が自動的に同期され、miniOrange でそれに応じてユーザー グループが割り当てられるか変更されます。)

  • 選択する グループ >> グループの管理 左のパネルから。
  • 以下を行うには、 グループを作成 ボタンを押します。
    • Fortinet Manage Groups の MFA/2 要素認証 (XNUMXFA)

  • 適切な グループ名 をクリックします。入力したコードが正しければ、MFAの設定は正常に完了します グループを作成.
    • Fortinet の MFA/2 要素認証 (XNUMXFA) グループの作成

  • このガイドでは、名前でグループを作成しました VPN_グループ。
  • グループにさまざまなメンバーを割り当てるには、 ユーザーの割り当て グループ リスト内のグループに関連付けられたオプション。
    • Fortinet ユーザー割り当て用の MFA/2 要素認証 (XNUMXFA)

  • このグループに割り当てる必要があるユーザーを選択します。次に、 グループに割り当てる アクションドロップダウンの選択で、[適用]ボタンをクリックします。
    • Fortinet のグループへの割り当てのための MFA/2 要素認証 (XNUMXFA)

  • これらのグループは複数の 2FAポリシー アプリケーションについて。


4. FortinetのMFAを設定する

注意: あなたが従うことができます このガイドエンドユーザー向けに MFA をカスタマイズして登録する場合。


  • ここでは、 ポリシーを構成する 作成したユーザーグループ このステップ それを Fortinet VPN アプリケーションに関連付けます。
  • ソフトウェアの制限をクリック ポリシー >> アプリ ログイン ポリシー。
    • Fortinet アプリ認証ポリシーの MFA/2 要素認証 (XNUMXFA)

  • ソフトウェアの制限をクリック ポリシーを追加
  • アプリケーションセクションで、 RADIUS アプリ 手順 1 で先ほど構成したものです。
  • 必要なユーザーグループを選択してください グループ名 そして、入力します。 ポリシー名.
  • このガイドでは、 パスワードのみ のための政策 「VPN_グループ」これにより、VPN_Group メンバーのみが 2 番目の要素なしで VPN サービスにアクセスできるようになります。
  • ポリシー設定が完了したら、 送信する ポリシーを追加します。
    • Fortinet アプリの MFA/2 要素認証 (XNUMXFA) 追加ポリシー


5. Fortinet MFAをテストする

  • FortiClientをダウンロードするには www.forticlient.com.
  • FortiClientコンソールを開き、 リモートアクセス > VPNを構成する.
  • 新しい接続を追加します:
    • 接続名を設定します。
    • リモートゲートウェイを設定する。
    • 「ポートのカスタマイズ」を選択し、10443 に設定します。
  • 設定を保存します。
  • Forticlientにログインして および パスワード .
    • MFA 2FA 多要素 / XNUMX要素認証 for Fortinet: FortiClient へのログイン

  • プロンプトが表示されます 2要素コード miniOrange ポリシーで 2 要素認証を有効にしている場合。
    • MFA 2FA 多要素 / 2要素認証(Fortinet 用): XNUMXFA コードの送信

  • あなたの〜を入力してください 2要素コード VPN に接続されるはずです。
  • 注: 設定中 IPSec VPN 接続 FortiClient 必ず 事前共有鍵 作成されたIPSecトンネルの LASTフォーティネットでは、複数のIPSecトンネルが存在する場合に問題が発生します。 フォーティゲート サーバー。
  • 有効な資格情報を渡すと、次の画面が表示されます。
    • Fortinet の MFA 2FA 多要素 / XNUMX 要素認証: Forticlient VPN ログイン成功

  • 間違った値を入力すると、以下の画面にリダイレクトされます。
    • Fortinet の MFA 2FA 多要素 / XNUMX 要素認証: ログイン失敗時のメッセージ


トラブルシューティング

エラーメッセージ - Radius サーバーに接続できませんか?

原因となる: ファイアウォールに複数の送信 IP があるか、Fortinet UI が機能していません。

解決策: 設定を確認し、ファイアウォールに静的 IP を使用し、CLI を使用して認証をテストしてください。

接続をテストするには、CLI で次のコマンドを入力します。

#diagnose test authserver radius <server_name> <chap | pap | mschap | mschap2> <username> <password>

管理者の2FAを設定する手順:

  • 管理ダッシュボードにログインしてクリックします CLI アイコン (>_).
    • Fortinet 多要素認証 (MFA/2FA) CLI トラブルシューティングのための XNUMX 要素認証


    #config user radius
    edit "<server_name>"
    set server "<vpn_server_ip>"
    set secret SUPERSECRETPASSWORD
    set auth-type <chap | pap | mschap | mschap2>
    next
    end

Radius サーバー ユーザー グループを使用したユーザー グループ構成:


#config user group
edit "radiusgroup"
set member "<server_name>"
config match
edit 1
set server-name "<server_name>"
set group-name "radiusgroup"
next
end
next
end

リモート認証とローカル バックアップ パスワードを使用したローカル管理者アカウントの構成:


#config system admin
edit "radiusadmin"
set remote-auth enable
set accprofile "super_admin"
set vdom "root"
set remote-group "radiusgroup"
set password fortinetlocal
next
end

miniOrange 管理ダッシュボードで RADIUS ユーザー監査ログを確認するにはどうすればよいですか?

  • にログインします miniOrange 管理ダッシュボード.
  • ソフトウェアの制限をクリック レポート >> Radius ユーザー認証レポート.
    • Fortinet 多要素認証 (MFA/2FA) XNUMX要素認証: 認証レポート

  • Enter エンドユーザー識別子 および 日付範囲.
  • ソフトウェアの制限をクリック 検索 .
    • Fortinet 多要素認証 (MFA/2FA) XNUMX要素認証: エンドユーザー認証ログ

2FA を有効にしてログインすると、Fortinet ファイアウォール管理者 CLI ログインでパスワードのリセットが求められる

原因となる: これは、サーバー (PuTTY から) が 2FA チャレンジ メッセージを読み取らないためです。

解決策: 受信した OTP を「新しいパスワード」と「パスワードの確認」の両方に入力します。



よくある質問(FAQ)

Fortinet VPN で MFA を有効にする方法は?

miniOrange管理コンソールで、Fortinet VPNをRADIUSクライアントとして追加し、ユーザーディレクトリに接続します。miniOrangeで使用するMFA技術を選択し、有効にします。miniOrangeをFortiGate RADIUSサーバーとして設定します。ユーザーがVPNに接続する際、本人確認のために2つ目の情報を提供する必要があります。

MFA 認証を有効にするにはどうすればいいですか?

ユーザーまたは管理者に対してMFAを有効にするには、miniOrangeにログインし、2要素認証設定に進みます。SMS、メール、認証アプリなど、本人確認の方法を選択できます。ユーザーがログインすると、サインアップを求められます。このルールは、社内の全員またはXNUMX人だけが遵守できます。

FortiGate で MFA を有効にする方法は?

RADIUSを使用して、FortiGateをminiOrangeのアプリとして追加します。FortiGateの認証設定で、miniOrange RADIUSサーバーの詳細を入力します。VPNログインのタイムアウトを表示されている時間に設定します。必要に応じて、ユーザーまたはグループにMFAを付与し、誰が何にアクセスできるかを制御します。

FortiGate に Google Authenticator を使用できますか?

はい、miniOrangeはGoogle AuthenticatorとFortiGateの両方に対応しています。デバイスをminiOrangeに登録すれば、Google Authenticatorの時間ベースのOTPを使用してVPNに接続できます。

miniOrange がサポートする Fortinet のさまざまな 2FA 方法は何ですか?

miniOrangeは、プッシュ通知、ソフトトークン、認証アプリ(Google Authenticator、Microsoft Authenticator、miniOrange Authenticatorなど)、SMSまたはメールで送信されるワンタイムパスワード、ハードウェアトークン(YubiKeyなど)、電話認証をサポートしています。管理者は、ビジネスニーズに応じて、使用するルールとその使用方法を選択できます。



さらなる参考文献

   '

x

*
*



*






 ご返答ありがとうございます。 すぐにご連絡させていただきます。

職場のメールIDを入力してください

デモをスケジュールしますか?

無料デモ申込み
  



その他のアイデンティティおよびアクセス管理製品

シングル・サインオン

従業員と顧客のIDをクラウドまたはオンプレミスのアプリにシームレスにログイン

さらに詳しく

多要素認証

追加の認証レイヤーによるIDの安全なアクセス

さらに詳しく

適応認証

IP、デバイス、時間、場所に基づいてユーザーアクセスをブロックまたは許可する

さらに詳しく

ライフサイクル管理

アプリへのユーザーのプロビジョニングとデプロビジョニングを管理および自動化する

もっと詳しく知る