FortiGate - RADIUS Authentication

Ci-dessous la procédure à suivre pour mettre en place une authentification radius sur votre FortiGate, afin de vous y connecter via des comptes AD (Active Directory) en mode Lecture ou Lecture/Écriture.

Procédure réalisée sur un FortiGate 301E en 6.2.4 et un Windows Server 2018.

• Connectez-vous sur votre serveur RADIUS et lancer (NPS) Network Policy Server.

• Créer un nouveau "RADIUS Client" :

• Entrer l'IP du FortiGate,

• Entrer une "Secret Key".

• Aller dans User & Device > RADIUS Servers et cliquer sur "Create New".

1. Indiquer un nom pour votre objet RADIUS,

2. Sélectionner "Specify" et indiquer le protocole d’authentification "PAP, CHAP, MS-CHAP ou MS-CHAP-V2",

3. Indiquer un NAS IP (Ex : 36.80.96.200). Cela permettra de le distinguer au niveau du serveur RADIUS,

4. Entrer l'adresse IP du serveur RADIUS et la Secret Key,

5. Effectuer un test de connectivité en cliquant sur "Test Connectivity", l'état doit être en "Succesful",

6. Faire les mêmes étapes si vous disposez de deux serveurs Radius.

• Aller dans User & Device > User Groups et cliquer sur "Create New".

1. Entrer un nom pour votre groupe qui servira à faire la liaison entre le serveur RADIUS et l'utilisateur,

2. Ajouter le serveur RADIUS créé précédemment.

• Aller dans System > Administrators et cliquer sur "Create New".

1. Indiquer un nom pour l’utilisateur qui sera utilisé leur d'une authentification RADIUS (Ex : Wildcard),

2. Sélectionner "Match all users in a remote server group",

3. Sélectionner le groupe créé précédemment,

4. Vous pouvez aussi restreinte l'accès au FortiGate via une authentification RADIUS à certaine IP ou plage IP.

• En CLI taper la commande suivante afin de permettre le profil transmis par le serveur RADIUS de remplacer le profil par défaut "no_access"

config system admin
edit "wildcard"
set accprofile-override enable
next
end
end

• Aller dans System > Admin Profiles et cliquer sur "Create New" (Uniquement à faire s’il n'y a aucun profil avec les droits de lecture)

Créer un profil qui comporte uniquement des droits en Lecture.

Vous disposez maintenant d'un profil Lecture/Ecriture "super_admin" et d'un profil Lecture "Read_Only"

• Connectez-vous sur votre serveur RADIUS et lancer (NPS) Network Policy Server.

• Créer deux nouvelles "Network Policies".