Ce site a été conçu sur la plateforme de création de sites internet
.com
. Créez votre site aujourd'hui.
Commencez

FORUM | French Network Engineer

  • Forum

  • Membres

  • Contact

  • Plus...

    Use tab to navigate through the menu items.
    Pour visualiser cela, rendez-vous sur votre site en ligne.
    • Catégories
    • Tous les posts
    • Mes posts
    frenchnetworkengineer
    28 sept. 2020
      ·  Modifié :  30 sept. 2020

    FortiGate - RADIUS Authentication

    dans Fortinet

    Ci-dessous la procédure à suivre pour mettre en place une authentification radius sur votre FortiGate, afin de vous y connecter via des comptes AD (Active Directory) en mode Lecture ou Lecture/Écriture.


    Procédure réalisée sur un FortiGate 301E en 6.2.4 et un Windows Server 2018.

     
    • Connectez-vous sur votre serveur RADIUS et lancer (NPS) Network Policy Server.


    • Créer un nouveau "RADIUS Client" :

    • Entrer l'IP du FortiGate,

    • Entrer une "Secret Key".



     
    • Aller dans User & Device > RADIUS Servers et cliquer sur "Create New".


    1. Indiquer un nom pour votre objet RADIUS,

    2. Sélectionner "Specify" et indiquer le protocole d’authentification "PAP, CHAP, MS-CHAP ou MS-CHAP-V2",

    3. Indiquer un NAS IP (Ex : 36.80.96.200). Cela permettra de le distinguer au niveau du serveur RADIUS,

    4. Entrer l'adresse IP du serveur RADIUS et la Secret Key,

    5. Effectuer un test de connectivité en cliquant sur "Test Connectivity", l'état doit être en "Succesful",

    6. Faire les mêmes étapes si vous disposez de deux serveurs Radius.

     
    • Aller dans User & Device > User Groups et cliquer sur "Create New".


    1. Entrer un nom pour votre groupe qui servira à faire la liaison entre le serveur RADIUS et l'utilisateur,

    2. Ajouter le serveur RADIUS créé précédemment.






     
    • Aller dans System > Administrators et cliquer sur "Create New".


    1. Indiquer un nom pour l’utilisateur qui sera utilisé leur d'une authentification RADIUS (Ex : Wildcard),

    2. Sélectionner "Match all users in a remote server group",

    3. Sélectionner le groupe créé précédemment,

    4. Vous pouvez aussi restreinte l'accès au FortiGate via une authentification RADIUS à certaine IP ou plage IP.




    • En CLI taper la commande suivante afin de permettre le profil transmis par le serveur RADIUS de remplacer le profil par défaut "no_access"

    config system admin
    edit "wildcard"
    set accprofile-override enable
    next
    end
    end
     
    • Aller dans System > Admin Profiles et cliquer sur "Create New" (Uniquement à faire s’il n'y a aucun profil avec les droits de lecture)



    Créer un profil qui comporte uniquement des droits en Lecture.









    Vous disposez maintenant d'un profil Lecture/Ecriture "super_admin" et d'un profil Lecture "Read_Only"


     
    • Connectez-vous sur votre serveur RADIUS et lancer (NPS) Network Policy Server.


    • Créer deux nouvelles "Network Policies".



    • Network Policy "Lecture" :

    • Le "NAS IPv4 Address" correspond à la valeur indiquer dans le champ "NAS IP" dans l'objet RADIUS sur le FortiGate (Ex : 36.80.96.200),

    • "User Groups" Indiquer le nom du groupe AD qui servira à attribuer les droits en "Lecture" aux utilisateurs,

    • Service-Type : Login

    • Vendor-Specific :

    • Code : 12356

    • Vendor-assigned attributenumber : 6

    • Attribute format : String

    • Attribute value : Read_Only


    • Network Policy "Lecture" :

    • Le "NAS IPv4 Address" correspond à la valeur indiquer dans le champ "NAS IP" dans l'objet RADIUS sur le FortiGate (Ex : 36.80.96.200),

    • "User Groups" Indiquer le nom du groupe AD qui servira à attribuer les droits en "Lecture/Ecriture" aux utilisateurs,

    • Service-Type : Login

    • Vendor-Specific :

    • Code : 12356

    • Vendor-assigned attributenumber : 6

    • Attribute format : String

    • Attribute value : super_admin

     

    Vérification :


    • Aller dans User & Device > RADIUS Servers.




    1. Cliquer sur "Test User Credentials".













    1. Test avec un compte qui possède les droits en Lecture.












    1. Test avec un compte qui possède les droits en Lecture/Ecriture.








     

    Vérification en CLI :

    # diag debug app fnbamd -1 
    # diag debug app radius -1 
    # diag debug enable 
    # diag test authserver radius <server_name> <chap | pap | mschap | mschap2> <username> <password>
     

    Pour plus d'informations : https://kb.fortinet.com/kb/documentLink.do?externalID=FD32808

    1 commentaire
    0
    1 commentaire