Ci-dessous la procédure à suivre pour mettre en place une authentification radius sur votre FortiGate, afin de vous y connecter via des comptes AD (Active Directory) en mode Lecture ou Lecture/Écriture.
Procédure réalisée sur un FortiGate 301E en 6.2.4 et un Windows Server 2018.
Connectez-vous sur votre serveur RADIUS et lancer (NPS) Network Policy Server.
Créer un nouveau "RADIUS Client" :
Entrer l'IP du FortiGate,
Entrer une "Secret Key".
Aller dans User & Device > RADIUS Servers et cliquer sur "Create New".
Indiquer un nom pour votre objet RADIUS,
Sélectionner "Specify" et indiquer le protocole d’authentification "PAP, CHAP, MS-CHAP ou MS-CHAP-V2",
Indiquer un NAS IP (Ex : 36.80.96.200). Cela permettra de le distinguer au niveau du serveur RADIUS,
Entrer l'adresse IP du serveur RADIUS et la Secret Key,
Effectuer un test de connectivité en cliquant sur "Test Connectivity", l'état doit être en "Succesful",
Faire les mêmes étapes si vous disposez de deux serveurs Radius.
Aller dans User & Device > User Groups et cliquer sur "Create New".
Entrer un nom pour votre groupe qui servira à faire la liaison entre le serveur RADIUS et l'utilisateur,
Ajouter le serveur RADIUS créé précédemment.
Aller dans System > Administrators et cliquer sur "Create New".
Indiquer un nom pour l’utilisateur qui sera utilisé leur d'une authentification RADIUS (Ex : Wildcard),
Sélectionner "Match all users in a remote server group",
Sélectionner le groupe créé précédemment,
Vous pouvez aussi restreinte l'accès au FortiGate via une authentification RADIUS à certaine IP ou plage IP.
En CLI taper la commande suivante afin de permettre le profil transmis par le serveur RADIUS de remplacer le profil par défaut "no_access"
config system admin
edit "wildcard"
set accprofile-override enable
next
end
end
Aller dans System > Admin Profiles et cliquer sur "Create New" (Uniquement à faire s’il n'y a aucun profil avec les droits de lecture)
Créer un profil qui comporte uniquement des droits en Lecture.
Vous disposez maintenant d'un profil Lecture/Ecriture "super_admin" et d'un profil Lecture "Read_Only"
Connectez-vous sur votre serveur RADIUS et lancer (NPS) Network Policy Server.
Créer deux nouvelles "Network Policies".
Network Policy "Lecture" :
Le "NAS IPv4 Address" correspond à la valeur indiquer dans le champ "NAS IP" dans l'objet RADIUS sur le FortiGate (Ex : 36.80.96.200),
"User Groups" Indiquer le nom du groupe AD qui servira à attribuer les droits en "Lecture" aux utilisateurs,
Service-Type : Login
Vendor-Specific :
Code : 12356
Vendor-assigned attributenumber : 6
Attribute format : String
Attribute value : Read_Only
Network Policy "Lecture" :
Le "NAS IPv4 Address" correspond à la valeur indiquer dans le champ "NAS IP" dans l'objet RADIUS sur le FortiGate (Ex : 36.80.96.200),
"User Groups" Indiquer le nom du groupe AD qui servira à attribuer les droits en "Lecture/Ecriture" aux utilisateurs,
Service-Type : Login
Vendor-Specific :
Code : 12356
Vendor-assigned attributenumber : 6
Attribute format : String
Attribute value : super_admin
Vérification :
Aller dans User & Device > RADIUS Servers.
Cliquer sur "Test User Credentials".
Test avec un compte qui possède les droits en Lecture.
Test avec un compte qui possède les droits en Lecture/Ecriture.
Vérification en CLI :
# diag debug app fnbamd -1
# diag debug app radius -1
# diag debug enable
# diag test authserver radius <server_name> <chap | pap | mschap | mschap2> <username> <password>
Pour plus d'informations : https://kb.fortinet.com/kb/documentLink.do?externalID=FD32808