FortiAuthenticator:FAQ
FortiAuthenticator:FAQ
Vorwort
Diese FAQ's sind für FortiAuthenticator Systeme basierend auf OS 3.x.
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
License
Wie wird ein FortiAuthenticator unter VMware lizensiert?
Eine FortiAuthenticator Lizenz basiert Hauptsächlich auf den lokal erfassten Usern oder erkannten Usern. dh. Alle User die eine FortiAuthenticator erkennt zB Lokal oder über ActiveDirectory werden gezählt. Die Basis Version des FortiAuthenticator kommt mit einer 100 User Lizenz und kann anhand zusätzlichen User Packages (Stackable) erweitert werden. Weitere Informationen wie eine FortiAnalyzer VM Lizenz registriert resp. eingespielt wird siehe folgender Artikel:
FortiAuthenticator:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiAuthenticator_f.C3.BCr_VMware_registriert_und_eingespielt.3F
Bei der Generierung der Lizenz muss die IPv4 Adresse des FortiAuthenticator angegeben werden. Anhand dieser IPv4 Adresse wird das Lizenz File erstellt das nachträglich in den FortiAuthenticator eingespielt werden kann. Wird die IPv4 Adresse des FortiAuthenticator geändert muss das entsprechende Lizenz File neu über den entsprechenden Support Account erstellt werden sowie neu eingespielt werden!
Wie wird ein FortiAuthenticator unter VMware installiert?
Nachfolgender Aritkel gibt Auskunft wie ein FortiAuthenticator unter VMware installiert wird:
Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F
Wie wird eine License für FortiAuthenticator für VMware registriert und eingespielt?
Wenn man einen FortiAuthenticator für VMware ohne Lizenz installiert fällt einem auf, dass dieser über keine Serien Nummer verfügt! Diese Serien Nummer wird erst bei der Erstellung der Lizenz im Support Portal anhand der IPv4 Adresse erstellt. Dies bedeutet: Als Lizenz Lieferung erhält man zB folgendes Dokument:
Datei:FACVM0001001.pdf
In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung im Support Portal durchgeführt. Um die Registrierung anhand des "Registration Code" durchzuführen führe ein Login anhand Usernamen und Passwort durch auf dem Support Portal in dem der FortiAuthenticator registriert werden soll:
http://support.fortinet.com
Die nachfolgenden Abbildungen zeigen den Vorgang anhand eines FortiAnalyzer's dh. der Vorgang eines FortiAuthenticator's
unterscheidet sich nicht und ist identisch!
Datei:Fortinet-212.jpg
Datei:Fortinet-213.jpg In diesem Punkt muss nun die IPv4 Adresse definiert werden
Datei:Fortinet-214.jpg
Datei:Fortinet-215.jpg Unter diesem Punkt kann nun das "License File" das auf dem FortiAuthenticator eingespielt werden muss, runtergeladen werden!
Der Registrierungsprozess ist abgeschlossen und die Serien Nummer des FortiAuthenticators ist im License File enthalten. Das License File kann nun auf dem FortiAuthenticator unter folgender Position eingespielt werden:
System > Administration > Licensing
Nachdem einspielen der License werden die Services des FortiAuthenticator neu gestartet. Nachdem neu eingeloggt wurde kann nun die Serial Nummer der Installation aus der folgenden Position eruiert werden:
System > Dashboard > Staus > System Information > Serial Number
Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.
Was sind für den FortiAuthenticator VMware basierend die System Requirements?
Der FortiAuthenticator für VMware hat folgendes System Requirements:
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAuthenticator Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/ (Legacy Link http://docs.fortinet.com/fauth.html)
FortiAuthenticator 3.0
Datei:FAC-3.0-What's-New.pdf (FortiAuthenticator 3.0 What's New Guide)
Datei:Fac-admin-guide.pdf (FortiAuthenticator 3.0 Administration Guide)
Datei:FortiAuthenticator REST API Solution Guide.pdf (FortiAuthenticator 3.0 REST API Solution Guide)
Datei:FortiAuthenticator Agent for Microsoft Windows Admin Guide.pdf (FortiAuthenticator 3.0 Agent For Windows Administration Guide)
Datei:FortiAuthenticator Two-Factor Authentication Interoperability Guide.pdf (FortiAuthenticator 3.0 Interoperability Guide)
Datei:FortiAuthenticator Certificate Based SSL-VPN Solution Guide.pdf (FortiAuthenticator 3.0 Certifcate Based SSL VPN Solution Guide)
Datei:FortiAuthenticator Token Based SSL-VPN Solution Guide.pdf (FortiAuthenticator 3.0 Token Based SSL VPN Solution Guide)
Datei:Fortiauthenticator-Radius-Accounting-SSO-Design-Guide.pdf (FortiAuthenticator 3.0 RADIUS Accounting with SSO for FortiOS 5.2.4 Design Guide)
Datei:Allowing-SSO-access-with-FGT-and-FAC.pdf (Allowing Single Sign-On access with a FortiGate and a FortiAuthenticator)
FortiAuthenticator 3.1
Datei:FAC-3.1-What's-New.pdf (FortiAuthenticator 3.1 What's New Guide)
Datei:FortiAuthenticator REST API Solution Guide-31.pdf (FortiAuthenticator 3.1 REST API Solution Guide)
Datei:FortiAuthenticator FAQ.pdf (FortiAuthenticator 3.1 FAQ)
Datei:Fortiauthenticator-31-fortios-52-wireless-eap-tls-win7.pdf (FortiAuthenticator v3.1, FortiOS v5.2.0, and Windows 7 SP1 Wireless EAP-TLS Configuration)
Datei:Fortiauthenticator-31-fsso-authentication-user-guide.pdf (FortiAuthenticator v3.1, FSSO (Fortinet Single Sign-On User Guide))
Datei:Fortiauthenticator-two-factor-authentication-interoperability-guide.pdf (FortiAuthenticator v3.1, Ineroperability Guide)
FortiAuthenticator 3.2
Datei:FAC-3.2-What's-New.pdf (FortiAuthenticator 3.2 What's New Guide)
Datei:FortiAuthenticator REST API Solution Guide-32.pdf (FortiAuthenticator 3.2 REST API Solution Guide)
Datei:Fortiauthenticator-32-fsso-authentication-user-guide.pdf (FortiAuthenticator v3.2, FSSO (Fortinet Single Sign-On User Guide))
FortiAuthenticator 3.3
Datei:FAC-3.3-What's-New.pdf (FortiAuthenticator 3.3 What's New Guide)
Datei:FortiAuthenticator Agent for Microsoft Windows Admin Guide.pdf (FortiAuthenticator 3.3 Agent For Windows Administration Guide)
Datei:FortiAuthenticator Agent for Microsoft IIS & OWA - Install Guide.pdf (FortiAuthenticator 3.3 Agent For Microsoft IIS & OWA Install Guide)
FortiAuthenticator 4.0
Datei:Fac-4.0-admin-guide.pdf (FortiAuthenticator 4.0 Administration Guide)
Datei:FAC-4.0-What's-New.pdf (FortiAuthenticator 4.0 What's New Guide)
Datei:FortiAuthenticator REST API Solution Guide-40.pdf (FortiAuthenticator 4.0 REST API Solution Guide)
Datei:FortiAuthenticator Captive Portal Guide-40.pdf (FortiAuthenticator 4.0 Captive Portal Guide 1.0)
Datei:Fac-radius-accounting-proxy-40.pdf (FortiAuthenticator 4.0 RADIUS Accounting Proxy Configuration Guide)
Datei:Fac-agent-for-ms-iis-owa-guide-40.pdf (FortiAuthenticator 4.0 Agent for Microsoft IIS/OWA - Install Guide)
Datei:Fac-agent-for-ms-windows-guide-40.pdf (FortiAuthenticator 4.0 Agent for Microsoft Windows Administration Guide)
Datei:Fac-certificate-based-ssl-vpn-guide-40.pdf (FortiAuthenticator 4.0 Certificate Based SSL VPN Solution Guide)
Datei:Fac-two-factor-guide-40.pdf (FortiAuthenticator 4.0 Two-Factor Authentication Agent for Windows)
Datei:FortiAuthenticator FSSO Authentication User Guide.pdf (FortiAuthenticator 4.0 FSSO Authentication User Guide)
Datei:FortiAuthenticator 4.0 Token-Based SSL VPN Solution Guide.pdf (FortiAuthenticator 4.0 Token-Based SSL VPN Solution Guide)
FortiAuthenticator 4.1
Datei:Fac-4.1-admin-guide.pdf (FortiAuthenticator 4.1 Administration Guide)
Datei:Fac-2Factor Auth Web Applications Guide.pdf (FortiAuthenticator Two-Factor Authentication for Web Applications Solution Guide)
Datei:FortiAuthenticator REST API Solution Guide-41.pdf (FortiAuthenticator 4.1 REST API Solution Guide)
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer FortiAuthenticator?
Weitere Informationen siehe folgender Artikle:
FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Upgrade
Wo und wie kann ich für den FortiAuthenticator ein Upgrade ausführen?
Ein FortiAuthenticator lässt sich über das Mgmt. Web Interface auf den neusten Stand bringen und zwar über folgende Position:
System > Administration > Firmware
Datei:Fortinet-1004.jpg
Ein Upgrade kann ebenfalls direkt über folgende Position ausgeführt werden:
System > Dashboard > Status > Firmware Version
Zusätzlich wenn von der Version 2.x ein Upgrade auf 3.x durchgeführt wird muss folgende Information berücksichtigt werden:
FortiAuthenticator:FAQ#Kann_ich_einen_2.0_MR2_.282.2.2.29_VMware_basierenden_FortiAuthenticator_auf_Version_3.0_Upgraden.3F
Bevor ein Upgrade durchgeführt wird sollte ein Ordnungsgemässes Backup durchgeführt werden! Weitere Informationen dazu siehe folgender Artikel:
FortiAuthenticator:FAQ#Wie_f.C3.BChre_ich_ein_manuelles_Backup.2FRestore_auf_einem_FortiAuthenticator_aus.3F
Kann ich einen 2.0 MR2 (2.2.2) VMware basierenden FortiAuthenticator auf Version 3.0 Upgraden?
Nein dies ist so direkt nicht möglich Im Gegensatz zur Hardware (Upgrade möglich ab 2.0 MR2 Patch 2 resp. 2.2.2) Variante des FortiAuthenticators dh. der Grund liegt in der Re-Partitionierung der VMware Variante unter 3.0. Dies bedeutet: Eine FortiAuthenticator VMware Installation tiefer als 2.2.3 (2.0 Patch 3) verfügt nicht über die benötigte Partitionierung für ein Upgrade auf 3.0. Dies wiederum bedeuet Folgendes:
Bevor ein Upgrade auf 3.0 durchgeführt wird, muss auf "jedenfall" ein Upgrade durchgeführt werden auf Relese 2.2.3
Die Version 2.2.3 (2.0 Patch 3) enthält keine neuen Features etc. sondern wurde nur released um der Re-Partitionierung der Version 3.0 Rechnung zu tragen dh. um ein Upgrade auf 3.0 zu ermöglichen! Für weitere Informationen zum Upgrade Prozedere betreffend VMware Variante siehe:
Datei:FortiAuthenticator-3.0-Release-Notes.pdf Datei:FortiAuthenticator-v2.0-MR2-Patch-Release-3-Release-Notes.pdf
Setup
Was sind die "Maximum Values" eines FortiAuthenticator?
Die Maximum Values eines FortiAuthenticator sind die folgenden:
Hardware
Virtual Machine
Welche Open Ports benützt ein FortiAuthenticator?
Ein FortiAuthenticator benützt für dessen Komunikation zB im Zusammenhang mit Radius TCP Port 1812. Nachfolgendes Dokument zeigt die Open Ports die für Fortinet Produkten wie der FortiAuthenticator benutzt werden:
Datei:FortinetOpenPorts.pdf Datei:Fortigate-Open-Ports-54.pdf
Nachfolgendes Diagramm zeigt die Open Ports unter FortiOS 5.4. Dieses Diagramm stammt aus dem Handbook FortiOS 5.4:
Was muss im Zusammenhang mit einer Two-Factor Authentication beachtet werden?
Wenn Two-Factor Authentication eingesetzt wird mit dem FortiAuthenticator, ist die Kompatibilität zu anderen Fortinet Produkten und/oder Fremdprodukten zu berücksichtigen. Der Grund sind die API's die auf Fortinet Produkten resp. Fremdprodukten zur Verfügung stehen müssen! Dies bedeutet wenn ein User für eine Two-Factor Authentication konfiguriert ist, und Username und Passwort absetzt, muss das API für die Two-Factor Authentication auf dem entsprechenden Produkt (sei es Fortinet und/oder Fremdprodukt) existieren sowie korrekt angesprochen werden resp. ausgelöst werden. Ist diese API nicht vorhanden und/oder wird diese nicht korrekt angesprochen kann keine Two-Factor Authentication durchgeführt werden. Nachfolgende Tabelle gibt eine Uebesicht über Fortinet und/oder Fremdprodukten:
Weitere Auskunft über Kompatiblität gibt der "Interoperability Guide". Dazu siehe folgender Artikel:
FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wie wird ein FortiAuthenticator auf VMware installiert?
Der FortiAuthenticator für VMware wird andhand eines .ovf Files (Deployable Open Virtualization Format) installiert. Für eine Grundinstallation wird das "ovf.zip" File benutzt und nicht das .out File. Das .out" File wird ausschliesslich für Upgrades benutzt. Weitere Informationen und Dokumente betreffend Virtualisierung und Installation findet man auf folgender Seite:
Fortinet:Virtualisierung
Wie sieht die Grundkonfiguration (Netzwerk) eines FortiAuthenticator aus?
Nach der Installation des FortiAuthenticator kann anhand des User "admin" über die Konsole eingeloggt werden. Per Standard ist kein Passwort gesetzt:
FortiAuthenticator login: admin
Password:
Welcome to the FortiAuthenticator!
>
Ein FortiAuthenticator verfügt nicht über das übliche FortiOS wie zB eine FortiGate dh. der Befehlsatz ist minimiert auf das noetigste. Nachfolgender Artikel gibt Auskunft was in diesem Befehlsatz resp. Kommandozeile zur Verfügung steht:
FortiAuthenticator:FAQ#Welche_Kommandos_stehen_auf_der_FortiAuthenticator_Kommandozeile_zur_Verf.C3.BCgung.3F
Anhand dieser Kommandos kann nur die Grundkonfiguration des Netzwerkes durchgeführt werden:
> set port1-ip 192.168.1.40/24
> set default-gw 192.168.1.1
Nun kann man auf das Mgmt. WebInterface zugreifen:
https://192.168.1.40/
Wo konfiguriere ich den Hostnamen eines FortiAuthenticator?
Der Hostnamen des FortiAuthenticator wird unter folgender Position gesetzt:
System > Dashboard > Status > System Information > Host Name
Für diese Position darf nicht der FQDN definiert werden sondern nur der "hostname". Der DNS Domain Name resp. der FQDN wird unter folgender Position konfiguriert:
FortiAuthenticator:FAQ#Wo_konfiguriere_ich_den_DNS_Domain_Name_eines_FortiAuthenticator.3F
Wo konfiguriere ich den DNS Domain Name eines FortiAuthenticator?
Der DNS Domain Name oder auch FQDN des FortiAuthenticator wird unter folgender Position konfiguriert:
System > Dashboard > Status > System Information > DNS Domain Name
Nach der Konfiguration des FQDN wird der FortiAuthenticator Service neu gestartet! Diese Definition des FQDN wird im Hintergrund für einige Konfigurationen benutzt. Ein Beispiel wo dieser FQDN benutzt wird ist das Self-Service Portal:
Authentication > Self-service Portal > General > Site Name
Im Zusammenhang mit dem FQDN des FortiAuthenticators ist nachfolgenden Position ebenfalls wichtig dh. Soll der FortiAuthenticator zusätzlich mit einem anderen FQDN Namen versehen werden für einen zustätzlich Funktion und/oder Service, muss dieser zusätzliche FQND Name unter folgender Position definiert werden:
System > Administration > GUI Access > Addtional allowed hosts/domain names
Wo kann ich die Zeitzone sowie eine Timeserver für den FortiAuthenticator konfigurieren?
Der Zeitzone sowie im Generellen der Zeit kommt bei einem Radius Server eine wichtige Funktion zu speziell wenn die Funktion des "Accounting" benutzt wird. Dies bedeutet: Radius Server und Radius Client zB FortiGate müssen über die gleichen Zeitinformationen verfügen resp. Timeserver benutzen um sicherzustellen, dass die Zeit auf beiden Devices dh. Radius Server und Client Synchron laufen! Die Zeitzone sowie die Definition eines Timeserver kann über folgende Position konfiguriert werden:
System > Dashboard > Status > System Information > System Time
Wo kann ich die noetigen DNS Server auf einem FortiAuthenticator konfigurieren?
Die DNS Server die der FortiAuthenticator benützt können über folgende Position konfiguriert werden:
System > Network > DNS
Die im Zusammenhang stehenden DNS Server die benutzt werden zB für Radius Agents/Clients sollten für deren DNS Auflösung über die nötigen Einträge resp. minimum über einen "A record" verfügen!
Wo kann ich für den FortiAuthenticator das Routing konfigurieren?
Statische Routing Einträge resp. das Routing kann über folgende Position konfiguriert werden:
System > Network > Static Routing > Create New
Wie aktiviere ich die verschiedenen Services für einen FortiAuthenticator?
Ein FortiAuthenticator ist im Grundsatz ein Radius Server. Ein Radius Server benötigt Grundsätzlich zwei Services:
• Radius Auth UDP/TCP 1812 (Old Radius 1645)
• Radius Accounting UDP/TCP 1813
Zusätzlich kann der FortiAuthenticator auch mit zusätzlichen Services/Funktionen betrieben werden wie zB als LDAP Server. Diese zusätzlichen Services/Funktionen benötigen zusätzliche Service Ports die über das entsprechende Interface aktiviert oder deaktiviert werden können:
Es ist zu empfehlen sämtliche nicht benötigten Services zu daktivieren!
Welche SSL Verschlüsselungs Methoden unterstützt ein FortiAuthenticator?
Basierend auf Version 3.3 und höher unterstützt der FortiAuthenticator folgende Verschlüsselung im SSL Bereich:
• Für Management wird per Standard TLSv1 benutzt sowie zusätzlich "Industry Standard Server Side TLS" (Mgmt. Certificate PEAP/TTLS/TLS)
• Für Certificate: 4098bit RSA keys mit SHA-1 / SHA-256 Hash
RSSO (Radius Single-Sign-On)
Kann ich anhand eines FortiAuthenticator ein RSSO (Radius Single-Sing-On) konfigurieren?
Ab FortiAuthenticator 3.0.1 kann ein Radius Single-Sign-On für eine FortiGate konfiguriert werden. Dabei kann ein vorhandenes Active Directory in den FortiAuthenticator eingebunden und anhand diesem und dem Radius Server ein RSSO basierend auf dem Polling Mode konfiguriert werden. Weitere Informationen siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Kann_ich_f.C3.BCr_eine_FortiGate_.C3.BCber_Radius_mit_LDAP_Anbidung_ein_Single-Sign-On_konfigurieren_.28RSSO.29.3F
Token
Welche Token Unterstützt der FortiAuthenticator?
Basierend auf FortiAuthentcator Version 3.1 oder höher unterstützt dieser folgende Token Arten:
• Physischer Token: FortiToken 200 OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden Intervall und benützen einen 6 Zeichen Code.
• Physischer Speicher Token: FortiToken 300; Dieser PIN geschützte Token basiert auf einem x.509 Zertifikat
geschützten USB Speicher. Der Speicher unterstützt PKCS#11 Protokolle. Wird hauptsächlich benützt im IPSec/SSL
VPN Bereich um Zertifikat basierende Authentifizierung zu schützen.
• Software Token: FortiToken Mobile OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden Intervall und benützen einen 6 -8 Zeichen Code sowie unterstützen IOS und Android Geräte.
• Ohne Token: Email und SMS "event" basierender Token
Wie funktioniert eine TOTP Two-Factor Zeit basierende Authentifizierung?
Wenn der Token wie zB FortiToken 200 benützt wird so benützt dieser den "open TOTP standard" definiert in RFC 6238). Nachfolgend eine Uebersicht wie dies funktioniert:
Wie und wo werden die Tooken Seeds eines FortiToken gespeichert?
Den Token Seeds kommt eine wichtige Rolle zu. Fortinet Tooken Seeds werden folgendermassen seitens Fortinet Verarbeitet/Gespeichert: Fortinet schützt die Token Seeds auf verschiedene Art und Weise. Die FortiToken zB FortiToken 200 mit deren Informationen resp. Seeds werden Initial in der FortiCare/FortiGuard Datenbank gespeichert. Wenn diese FortiToken 200 über den FortiAuthenticator und/oder FortiGate registriert werden so werden die Seeds aus der FortiCare/FortiGuard Datenbank entfernt. Dies wird durchgeführt um das Risiko zu minimieen, dass diese Seeds zukünftig kompromitiert werden. Im Hintergrund wird jedoch durch die Registrierung anhand der Serial Nummer auf dem Device dh. FortiAuthenticator/FortiGate der FortiToken mit dem Device registriert und somit kann der FortiToken nicht zusätzlich auf einem anderen Device zB FortiGate registriert werden. Möchte man einen FortiToken auf einem neuen Device sei es FortiGate/FortiAuthenticator registrieren, muss dieser "re-provisioned" werden dh. es benötigt ein Tecnical Support Ticket um in der FortiCare/FortiGuard Database diesen FortiToken (Seed) erneut zu speichern. Dazu wird eine Offline Kopie des Token benutzt da durch die Erst-Registrierung der Seed aus der Datenbank von FortiCare/FortiGuard gelöscht wurde. Somit wird ein FortiToken 200 Seed nur bis zur Registrierung in der Datenbank von FortiCare/FortiGuard gespeichert. Ein FortiToken Mobile wird in der Datenbank von FortiCare/FortiGuard resp. dessen Seed solange gespeichert, bis der Seed runtergeladen wurde. Ist dies der Fall, wird ebenfalls dieser Seed aus der Datenbank von FortiCare/FortiGuard gelöscht. Es ist möglich diesen Vorgang der Speicherung des Seed's in der FortiCare/FortiGuard Datenbank zu konfigurieren. Wenn für "Enterprise" Kunden dieser oben beschriebene Weg aus Sicherheitsgründen kein Weg darstellt da der Seed in der Datenbank von FortiCare/FortiGuard gespeichert wird, kann der Kunde folgendes Produkt beziehen:
FTK200CD-X (Anzahl 10, 20, 50 100)
Bei dieser offiziellen SKU von Fortinet handelt es sich um eine FortiToken 200 CD die deren "Seed's" verschlüsselt enhält und somit nicht in der FortiCare/FortiGuard Datenbank gespeichert werden! Es besteht ebenfalls die Möglichkeit bei sehr grossen Umgebungen das "self-provisioning" der Tokens selbst durchzuführen. Dazu benötigt man jedoch das "Provisioning Tool" von Fortinet. Dieses Provisioning Tool ermöglicht es zufällige Seed's selbst zu erstellen. Für ein allfäliges Pricing und minium Volumen muss Fortinet kontaktiert werden.
User
Wo setze ich auf einem FortiAuthenticator für den User "admin" das Passwort?
Das Passwort für den User "admin" kann unter folgender Position gesetzt werden:
Authentication > User Management > Local Users > admin
Wenn das Passwort des User "admin" nicht mehr bekannt ist kann anhand der "admin-maintainer" eingeloggt werden dh. Nachdem der FortiAuthenticator neu gestartet wurde und das Login erscheint kann 2 Minuten anhand des User "maintainer" eingeloggt werden:
Login: maintainer
Password: [Serien Nummer des FortiAuthenticator zB "FAC-VM0A13000319"]
Das Passwort des User "admin" kann nicht über CLI gesetzt werden jedoch kann dieses anhand "restore-admin" zurückgesetzt werden:
> restore-admin
Trusted management subnets of administrator "admin" habe been cleared.
No need to restore administrator access to Port 1.
Default administrator account "admin" has been restored:
Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
Please remember to change the password.
Wo setze ich für den User "admin" den Mgmt. Access?
Der User "admin" kann über ein entsprechend konfiguriertes Interface Zugriff auf das Mgmt. Web Interface oder SSH erlangen. Dieser Access kann über folgende Position konfiguriert werden:
Network > Interfaces > [Wähle das entsprechende Interface zB "port1"]
Auf der CLI steht zusätzlich folgendes Kommando zur Verfügung um den Access auf port1 sowie das Passwort für den User "admin" auf Standard zurücksetzt:
> restore-admin
Trusted management subnets of administrator "admin" habe been cleared.
No need to restore administrator access to Port 1.
Default administrator account "admin" has been restored:
Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
Please remember to change the password.
Wo setze ich für das Mgmt. Web Interface ein entsprechendes Timeout?
Das Timeout für das Mgmt. Web Interface wird unter folgender Position konfiguriert:
System > Administration > GUI Access > Idle timeout
Kann ich das Mgmt. Web Interface eines FortiAuthenticator anhand einer ACL betreffend "admin" Zugriffe einschränken?
Wenn sich ein FortiAuthenticator mit seinem Interface in einem DMZ befindet, kann der Zugriff auf das Mgmt. Web Interface zB über HTTPS über eine vorhandene Firewall mit eintsprechender Policy Rule eingeschränkt werden. Befindet sich jedoch der FortiAuthenticator im LAN Segmment kann dies nicht mehr bewerkstelligt werden da der Traffic für HTTPS nicht mehr über die Firewall kontrolliert werden kann. Ab FortiAuthenticator 3.1 ist es möglich für den entsprechenden User zB User "admin" und über dessen Funktion "trusted management subnets" eine ACL (Access Control List) zu konfigurieren:
Authentication > User Management > Local Users > User Role > Restrict admin login from trusted management subnets only
Diese Positon steht nur dann zur Verfügung, wenn der entsprechende User betreffend "Role" als Administrator konfiguriert wurde! Auf der CLI steht zusätzlich folgendes Kommando zur Verfügung um dieses "trusted management subnets" zurück zu setzen. Dabei wird jedoch nicht nur dieses "trusted management subnets" zurückgesetzt sondern ebenfalls der konfigurierte Mgmt. Access auf port1 wie zB HTTPS sowie das Passwort für den User "admin":
> restore-admin
Trusted management subnets of administrator "admin" habe been cleared.
No need to restore administrator access to Port 1.
Default administrator account "admin" has been restored:
Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
Please remember to change the password.
Kann ich betreffend User Informationen auf dem FortiAuthenticator zusätzliche Felder benützen/erstellen?
Wenn ein User oder Users Lokal erfasst werden kann es Sinnvoll sein, zusätzliche Felder zur Verfügung zu haben um spezfische Informationen für die User zu erfassen wie zB Abteilung, Lokation usw. Auf dem FortiAuthenticator stehen für solche Zwecke drei Felder zur Verfügung die mit einem eigenen Namen versehen werden können. Diese Felder werden nach der Vergabe der Namen/Bezeichnung unter "User Information" angezeigt. Die drei Felder müssen vorgängig definiert werden unter folgender Position:
Wo kann ich für User eine Gruppe erstellen und diese Gruppe einem Radius Client zuweisen?
Nun die Gruppierung innerhalb des FortiAuthenticator kommt eine wichtige Funktion zu dh. wenn ein Radius Client (zB eine FortiGate) erfasst wird so ist die Standard Konfiguration für diesen Radius Client die folgende:
Authentication > RADIUS Service > Clients
Wenn zB auf dem FortiAuthenticator ein Radius Client (FortiGate) konfiguriert wird für Lokale User auf dem FortiAuthenticator und diese Lokalen User im Zusammenhang mit einer Gruppe auf dem FortiAuthenticator benutzt wird so stellt diese Konfiguration keine Probleme dar. Dies bedeutet: Im nachfolgenden Beispiel existieren in der Gruppe "gr_alsochllu-sg0e0_ssl_vpn" Lokale User des FortiAuthenticator und benützten "two-factor authentication" für SSL-VPN auf dem Radius Client resp. auf der FortiGate:
Somit für Realm "local | Local users" wird ein Filter benutzt dh. die Gruppe "gr_alsochllu-sg0e0_ssl_vpn" und sofern möglich eine "two-factor authentication" ausgeführt. Als Realm dh. als "Username input format" muss kein Realm benutzt werden da es sich um den Standard Realm "local | Local users" handelt. Möchte man nun eine weitere Gruppe hinzufügen zB "gr_sg0e0_dmz0_wirless" für eine WPA2-Enterprise Authentifizierung für den gleichen Radius Client (FortiGate) muss für die Unterscheidung ein Realm benutzt werden da ansonsten der FortiAuthenticator die Gruppen und Authentifizierungs Methoden nicht mehr unterscheiden kann. Somit muss an erster Stelle ein Realm konfiguriert werden:
User Management > Realms > Create New
Wird ein Realm benutzt im Zusammenhang mit ActivDirectory muss dieser vorgängig unter folgender Position erfasst werden:
Authentication > Remote Auth. Servers > LDAP > Create New
Nachträglich steht dieser neue "Remote Auth Servers" dh. LDAP unter Realm für die Position " User source" zur Verfügung und somit wird der REALM mit dem "Remote Auth Server" LDAP Verknüpft. Das Gleiche wird mit der Gruppe durchgeführt dh. wurde vorgängig ein "Remote Auth Server" zB LDAP konfiguriert kann dieser mit der entsprechenden Gruppe Verknüpft werden:
Authentication > User Groups > Create New
Danach kann der neue Realm der mit dem "Remote Auth Servers" LDAP Verknüpft wurde innerhalb der Radius Client (FortiGate) Konfiguration benutzt werden um diesen mit der entsprechenden Gruppe zu Verknüpfen:
Somit können verschiedenen Authentifizierungs Methoden anhand verschiedener Gruppen für Lokale User oder Remote Auth Servers resp. LDAP anhand des Realms für den gleichen Radius Client (FortiGate) unterschieden werden. Wie schon erwähnt muss der User der ein Login durchführt bei dem Standard Realm "local | Local users" keine Angaben des Realms durchführen. Für alle anderen Realms muss der User beim Login den entsprechenden Realm mitgeben anhand der Konfiguration innerhalb des Radius Client der Position "Username input format".
Gibt es auf dem FortiAuthenticator eine User Account Policy und wo kann ich diese definieren?
Auf einem FortiAuthenticator kann eine Passwort Policy aktiviert/definiert werden unter folgender Position:
Authentication > User Account Policies > Passwords
Ein "locked" User wird im FortiAuthenticator durch einen Admin auf "unlocked" gesetzt was ist dabei zu beachten?
Wenn in der Account Policy im FortiAuthenticator "enable password expiry" gesetzt wird so wird ein User auf "locked" gesetzt sofern er sein Password nach "password expiry" nicht neu setzt. Obwohl ein Administrator im FortiAuthenticator diesen User "unlocked" wird der User nach 24 Stunden wiederum auf "locked" gesetzt. Der Grund dafür ist der Folgende:
Da der User innerhalb dieser 24 Stunden sein Passwort nicht neu setzt greift wieder die Option password expiry"
Somit muss ein User nach einem "unlock" das Passwort innerhalb 24 neu setzen damit der nicht wieder auf "lock" gesetzt wird.
Wo kann ich die Lockout Policy für die User Account's definieren?
Lockout Policy für die User kann über folgende Position definiert werden:
Wie konfiguriere ich für einen User im FortiAuthenticator eine 802.x Authentication?
Eine 802.x Authentication ist basierend auf der MAC Adresse dh. zur regulären Authentifizierung wird die MAC Adresse des Client zur Authentifizierung hinzugefügt. Um eine solche Konfiguration auf dem FortiAuthenticator durchzuführen führe folgendes durch:
1. Als erstes erfasse für die Authentifizierund den entsprechenden Radius Client:
FortiAuthenticator:FAQ#Wie_und_wo_erfasse_ich_einen_Radius_Client_auf_dem_FortiAuthenticator.3F
2. Definiere im Radius Client, dass für diesen Radius Client eine MAC basierende Authentifizierung gilt:
Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Radius Client] > [Aktiviere "Allow MAC-based authentication"]
Unter dieser Position kann die "Mac-based authentication" anhand "Apply Group Attributes" mit einer entsprechenden Gruppe Verknüpft werden.
3. Erfasse für die 802.x Authentifizierung die entsprechenden MAC Adresse/n:
Authentication > User Management > MAC Auth Bypass > Create New
Nun kann die Konfigurtion anhand eines Users der für den entsprechenden Radius Client (Gruppe und/oder Local Users) freigeschaltet ist getestet werden!
Kann ich für "expired" Users einen automatischen "purge" ausführen?
Ab Version 3.0.1 wird die Funktion eines "Automatically purge" zur Verfügung gestellt unter folgender Menüposition:
Authentication > General > Other Settings > Automatically purge disabled user accounts
Somit kann unter dieser Position anhand der Frequency (Daily, Weekly oder Monthly) sowie Time (Zeit der Ausführung) angegeben werden, wann "Account expired" User zB stammend von der Self-Registration gelöscht werden sollen. Wenn die User manuell anhand "Purge Disabled" gelöscht werden sollen, kann dies unter folgender Position durchgeführt werden:
Authentication > User Management > Local Users
Wie kann ich auf einem FortiAuthenticator "multiple user login" verhindern/konfigurieren?
Dies kann über den FortiAuthenticator nicht verhindert resp. konfiguriert werden. Der Grund liegt darin, dass der FortiAuthenticator zwar das Login des Users überprüft aber das Logout wird dem FortiAuthenticator nicht von zB einer FortiGate zurückgemeldet. Also kann der FortiAuthenticator nicht feststellen ob der User ausgeloggt hat oder nicht resp. ob es sich um ein "multiple user login" handelt. Um dies zu verhindern muss dies auf dem Device auf dem der User das Login vollzieht konfiguriert werden. Wie dies auf einer FortiGate zu konfigurieren ist siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_jeden_User_.28inkl._.22admin.22.29_und.2Foder_User_in_Gruppen_ein_.22multiple_login.22_verhindern.3F
Self-Registration
Self-Registration
Wie sieht ein Grundsetup vom Ablauf her aus für die "Self-Registration" Funktion?
Im Gegensatz zum "Wireless Guest Access Provisioning" existieren für die "Wireless Self Registration" Funktion vers. Vorraussetzungen die da wären:
FortiGate mit FortiOS 5 Patch 2 oder höher
FortiAuthenticator mit FortiOS 3 oder höher
Wenn der FortiAuthenticator zB basierend auf VMWare installiert ist kann über die Kommandozeile ein entsprechendes Interface für den Zugriff konfiguriert werden:
FortiAuthenticator:FAQ#Wie_sieht_die_Grundkonfiguration_.28Netzwerk.29_eines_FortiAuthenticator_aus.3F
Nun kann man auf das Mgmt. WebInterface zugreifen:
https://192.168.1.40/
Danach führe folgendes Konfiguration aus:
FortiAuthenticator:FAQ#Wo_setze_ich_auf_einem_FortiAuthenticator_f.C3.BCr_den_User_.22admin.22_das_Passwort.3F FortiAuthenticator:FAQ#Wo_setze_ich_f.C3.BCr_den_User_.22admin.22_den_Mgmt._Access.3F FortiAuthenticator:FAQ#Wo_setze_ich_f.C3.BCr_das_Mgmt._Web_Interface_ein_entsprechendes_Timeout.3F FortiAuthenticator:FAQ#Wo_konfiguriere_ich_den_Hostnamen_eines_FortiAuthenticator.3F FortiAuthenticator:FAQ#Wo_konfiguriere_ich_den_DNS_Domain_Name_eines_FortiAuthenticator.3F FortiAuthenticator:FAQ#Wo_kann_ich_die_Zeitzone_sowie_eine_Timeserver_f.C3.BCr_den_FortiAuthenticator_konfigurieren.3F FortiAuthenticator:FAQ#Wo_kann_ich_die_noetigen_DNS_Server_auf_einem_FortiAuthenticator_konfigurieren.3F FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_den_FortiAuthenticator_das_Routing_konfigurieren.3F FortiAuthenticator:FAQ#Wie_aktiviere_ich_die_verschiedenen_Services_f.C3.BCr_einen_FortiAuthenticator.3F
Unter "Services" sollten nur die Services aktiviert werden die benützt werden für die Authentifizierung. Dies bedeutet: Wenn nur die "Self Registration" Funktion genutzt wird so deaktiviere alle Services bis auf "Radius" da die Funktion "Radius" basierend ist! Wenn der FortiAuthenticator durch eine Firewall geschützt wird zB in einem DMZ muss darauf geachtet werden, dass die entsprechenden Services für die die Authentifizierung sowie Mgmt. auf der Firewall zB FortiGate erlaubt werden. Die vers. Ports wären:
FFSO TCP 8000
LDAP TCP 389 (LDAPS 636)
Radius TCP 1812 (UDP)
Radius Accounting TCP 1813 (UDP)
Mgmt. HTTP TCP 80
Mgmt. HTTPS TCP 443
Mgmt. SSH TCP 22
Mgmt. Telnet TCP 21
Mgmt. Ping ICMP
Weitere Informationen betreffend "Open Ports" im Zusammenhang mit Fortinet Produkten wie der FortiAuthenticator siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Welche_Open_Ports_ben.C3.BCtzt_ein_FortiAuthenticator.3F
Im "Self Registration" Portal werden Services benötigt die die nötigen Informationen übermitteln wie zB E-Mail, SMS usw. Einer dieser Service's ist die Uebermittlung der Informationen über EMail! Dazu wird ein SMTP Server benötigt. Die Konfiguration des SMTP Servers wird unter folgendern Position konfiguriert:
FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_das_Versenden_von_EMail.27s_einen_SMTP_Server_definieren.3F
Desweiteren kann die Information über SMS versendet werden. Unter folgender Position kann ein SMS Service konfiguriert werden dh. per Standard steht der "FortiGuard Messaging Service" zur Verfügung, der benutzt werden kann sofern man über den "FortiGuard Service" für den Authenticator verfügt. Wenn selber ein SMS Gateway/Provider definiert werden möchte was zu empfehlen ist siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_das_Versenden_von_SMS_Nachrichten_einen_entsprechenden_SMS_Gateway_definieren.3F
Als nächstes muss auf dem FortiAuthenticator der FortiGate Device über diesen die "Self Registration" Funktion ausgeführt wird als "Radius Client" erfasst werden. Ebenso muss auf der FortiGate auf der die "Self Registration" Funktion benutzt wird der "Radius Server" erfasst werden:
FortiAuthenticator:FAQ#Wie_und_wo_erfasse_ich_einen_Radius_Client_auf_dem_FortiAuthenticator.3F
Als nächsten Schritt legen wir eine Gruppe an die alle User beinhaltet die sich auf dem Self-Registration Portal registrieren werden dh. diese Self-Registration User werden durch die Funktion automatisch in diese Gruppe geschrieben. Weitere Informationen zur Erstellung einer Gruppe und was dabei zu beachten ist siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_User_eine_Gruppe_erstellen_und_diese_Gruppe_einem_Radius_Client_zuweisen.3F
Als nächsten Schritt definieren wir die Grundkonfiguration des "Self-Registration" Funktion dh. unter folgender Position:
Innerhalb dieser Konfiguration kann die Standard Sprache des Portals definiert werden! Es stehen vers. Sprachen zur Verfügung wie Deutsch, Französisch, Englisch usw. Unter der Position "Site Name" kann der FQDN des Portals definiert werden. Dies ist nur dann zu definieren wenn die nachfolgende Konfiguration nicht durchgeführt wurde:
FortiAuthenticator:FAQ#Wo_konfiguriere_ich_den_DNS_Domain_Name_eines_FortiAuthenticator.3F
Unter der Position "E-mail signature" kann eine Signature definiert werden die jeder Nachricht angehängt wird die über das Self-Registration Portal ausgelöst wird! Nun defnieren wir die Funktion des Self-Registration Portals unter folgender Position:
Require administrator approval
Wenn die Position "Require administrator approval" aktiviert wird, erhält der zustaendige Administrator
per E-Mail die noetigen Informationen für die Registration des Users und muss bevor diese Aktiv werden
im FortiAuthenticator diese durch eine Link der auf den FortiAuthenticator zeigt Bestätigen. Die EMail
Adressen können frei gewählt werden oder über den entsprechenden Account des Administrators:
Use mobile number as username"
Aktiviert man diese Position so wird als Username die Mobile Nummer definiert sowie das Passwort wird
dem User an die defninierte Mobile Nummer gesendet!
Place registered users into a group
Diese Position sollte umbedingt aktiviert werden sowie die entsprechende Gruppe definiert werden. Weitere
Informationen dazu siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wo_kann_ich_f.C3.BCr_User_eine_Gruppe_erstellen_und_diese_Gruppe_einem_Radius_Client_zuweisen.3F
Password creation
Wenn die Position "Password creation" auf "Randomly generated" gesetzt wird so wird ein Passwort vom System
generiert. Ab Version 3.0.0 kann dieses Passwort über die "User Account Policies" beeinflusst resp. definiert
werden. Weitere Informationen siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Gibt_es_auf_dem_FortiAuthenticator_eine_User_Account_Policy_und_wo_kann_ich_diese_definieren.3F
Deszweiteren ist zu berücksichtigen, dass wenn die Funktion "Randomly generated" benutzt wird, innerhalb des
Self-Registration Portals die Felder für die Angabe des "Password" sowie "Confirm Password" entfernt werden.
Dies kann über die "Replacement Message Groups" durchgeführt werden:
Send account information via
Diese Position definiert "wie" die Account Informationen dem User der sich auf dem Self-Registration Portal registriert
zugestellt werden. Aktiviert man die Position "Display on browser page" kann die entsprechende Seite unter den "Replacement
Message" modifiziert werden:
Required Field Configuration
Im Self-Registration Portal stehen für die Registration verschiedene Felder zur Verfügung wie zB First name, Last name usw.
Unter dieser Position wird definiert ob diese Felder "Required" sind oder nicht. Ebenfalls stehen drei "Custom field"
zur Verfügung in denen eigenen User Informationen definiert werden können. Weitere Informationen wie diese Felder erstellt
werden etc. findet man unter folgendem Artikel:
FortiAuthenticator:FAQ#Kann_ich_betreffend_User_Informationen_auf_dem_FortiAuthenticator_zus.C3.A4tzliche_Felder_ben.C3.BCtzen.2Ferstellen.3F
Die Konfiguration ist nun abgeschlossen auf dem FortiAuthenticator. Dies bedeutet: Das Verhalten des Self-Registration Portal ist definiert sowie eine Gruppe die zum entsprechenden Radius Client (FortiGate) hinzugefügt wurde. Die Verbindung zwischen Radius Client (FortiGate) und Radius Server (FortiAuthenticator) wurde getestet und steht. Als letzter Test kann nun das Self-Registration Portal getestet werden dh. führe folgendes aus:
https://192.168.1.40 NOTE Wenn man nun auf "Register" klickt, wird die "Self Registration" Seite angezeigt und kann getestet werden. Beachte bei diesem Test, dass keine Admin Session aktiv ist da ansonsten das Login nicht angezeigt wird dh. logge dich also vorhergehend aus dem FortiAuthenticator aus!
In diesem Beispiel wurde das Passwort auf "Randomly generated" gesetzt sowie die Passwort Felder unter "Replacement Message Groups" für die "Registration Page" auskommentiert ( <!-- --> ). Die Passwort Policy wurde ebenfalls manipuliert indem folgendes definiert wurde:
Da wir die Position "Display on browser page" gewählt haben werden nun die Login Daten auf der Seite angezeigt! Wenn diese Variante gewählt wird, sollte ein Link auf diese Seite eingebaut werden damit der User die Credentials eingeben kann. Damit er dies durchführen kann klickt er auf "Click here to proceed,". Durch diese Implementierung wird eine Seite aufgerufen (zB www.google.ch) und dadurch Erzwungen das die "Login Page" angezeigt wird auf der der User seine Credentials eingeben kann: --------------- HTML --------------- <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN"> <html> <p> Click <a href="http://www.mydomain.ch"> here </a> to proceed, </p> </html> --------------- HTML ---------------
Der User der sich selber über die "Self Registration" registriert hat ist auf dem FortiAuthenticator unter folgender Position sichtbar:
Die User werden "autom" deaktiviert sobald "Account expires after" unter der folgende Position eintritt und somit zählen diese User als nicht mehr "aktive" User!:
Authentication > Self-registration > Account expires after
Soll die Expiration manipuliert werden für einen einzelnen User kann dies innerhalb des User unter "Enable account expiration > Edit" durchgeführt werden! Die User die die Expiration erreichen werden per Standard nicht automatisch gelöscht sondern können mit der Funktion "Automatically purge expired accounts" Automatisch oder über die Local User Manuell gelöscht werden. Weitere Informationen zur Automatischen/Manuellen Löschung abgelaufener User siehe Artikel:
FortiAuthenticator:FAQ#Kann_ich_f.C3.BCr_.22expired.22_Users_einen_automatischen_.22purge.22_ausf.C3.BChren.3F
Nun kann die Implementation auf der FortiGate (Radius Client) durchgführt werden dh. Implementiere die nötige SSID sowie FortiAP. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.4_in_Betrieb_und_konfiguriere_ich_diesen.3F
Beim erfassen der SSID muss diese betreffend Authentication auf "Open" gesetzt werden. Der Grund dafür ist, dass dem User "ohne" Authentifizierung eine IP zugewiesen werden muss damit er zum "Self Registration" Portal gelangt! Um auf der FortiGate die entsprechende Konfiguration zu vervollständigen dh. um eine Policy zu implementieren für "Identity Based Poliy" müssen wir eine Gruppe erfassen und dieser den erfassten "Radius Server" hinzufügen:
User & Device > User > User Group > Create New
Nun fehlt noch die entsprechende "Identity Based Policy" auf der FortiGate dh. als Beispiel nehmen wir eine SSID "only4guest". Diese SSID soll benutzt werden im Zusammenhang mit dem "Self Registration". Es ist dabei folgendes zu Berücksichtigen: Diese Art einer Policy dh. anhand einer "Identity Based Policy" existiert unter FortiOS 5.2 nicht mehr dh. die entsprechende Firewall Policy Rule wird unter FortiOS 5.2 normal erstellt und die Gruppe "FortiGroup-Self-Registration" in der der Radius Server vorgängig hinzugefügt wurde wird einfach als Gruppe unter unter "Source User(s)" hinzugefügt! Um das "Captive Portal" zu modifzieren muss unter FortiOS 5.2 dies innerhalb der entsprechenden SSID für das "Captive Portal" unter "Customize Portal Messages" durchgeführt werden!
Positione "Customize Authentication Message" muss aktiviert werden dh. auf der entsprechenden Seite muss ein Link eingebaut werden damit der "Guest" User diesen Benutzen kann um auf den FortiAuthenticator zu gelangen um die "Self Registration" auszuführen. Die "Customize Authentication Message" basieren auf den "Replacement Messages". Im Zusammenhang mit dieser Funktion ist es empfehlenswert nicht die globalen Seiten abzuändern sondern eine "Replacement Message Group" zu erstellen und diese der entsprechenden Policy zu zuweisen. Weitere Informationen wie so eine "Replacement Message Group" konfiguriert wird und wie diese der entsprechenden Policy zugewiesen wird siehe:
FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F
Diese Seiten können über folgendes Position modifiziert werden:
System > Config > Replacement Message > Login Page
Danach kann der HTML Code erweitert werden um den Link zu enhalten der zur "Self Registration" Seite führt die auf dem FortiAuthenticator sich befindet. In dieser Variante steht die "Login Seite" zur Verfügung inkl. der Link zur "Self Registration" Seite auf dem FortiAuthenticator. Nachfolgend ein Beispiel so eines Links:
--------------- HTML ---------------
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html>
<p style="text-align:center">If you do not have an account on this system, please register <a href="https://192.168.1.40/auth/register/">here</a></p>
</html>
--------------- HTML ---------------
Nun zu aller Letzt muss vor der Identity Based Policy eine Firewall Policy Rule implementiert werden die den Traffic zwischen der SSID in unserem Beispiel "only4guests" und der "Self Registration" Seite auf dem FortiAuthenticator erlaubt. Je nachdem wie das "Self-Registration" Portal des FortiAuthenticator aufgerufen wird muss DNS Traffic freigegeben werden. Dies bedeutet: Wird als "Self-Registration" Portal des FortiAuthenticator Aufruf ein FQDN benutzt muss dieser DNS Traffic erlaubt werden!
Nun können die ersten Tests durchgeführt werden!
Kann ich die HMTL Seiten im Zusammenhang mit dem "Self-Registration" Portal modifizieren?
Sämtliche HTML Seiten sei es für SMS, Browser und/oder EMail lassen sich über die "Replacement Message" Funktion modifizieren und abändern:
Kann ich auf der Registration Seite des "Self-Registration" Portal die Felder beeinflussen/ändern?
Die Felder auf der "Self-Registration" Seite lassen sich vollumfänglich ändern dh. auf der einen Seite laesst sich bestimmen welche Felder als "Required" definiert werden und auf der anderen Seite lässt sich die HTML Seite ändern. Dies bedeutet wiederum, Felder die nicht "Required" sind können über die HTML Seite so modifiziert/gelöscht werden damit diese nicht angezeigt werden. Ebenso können 3 zusätzlich Felder für "User Informationen" konfiguriert werden:
Required Field Configuration
Authentication > Self-service Portal > Self-registration > Required Field Configuration
Replacement Message
Authentication > Self-service Portal > Replacement Message
Custome Field
FortiAuthenticator:FAQ#Kann_ich_betreffend_User_Informationen_auf_dem_FortiAuthenticator_zus.C3.A4tzliche_Felder_ben.C3.BCtzen.2Ferstellen.3F
Wo kann ich definieren wielange eine Token Information gültig ist?
Wenn eine FortiAuthenticator einen Token aktiviert ist dieser für eine bestimmte Zeit für "ein" Login gültig. Diese Zeit zwischen Token Aktivierung/Deaktivirung kann in der "Lockout" Policy gesetzt werden. Nähere Informationen dazu siehe folgender Artikel:
FortiAuthenticator:FAQ#Wo_kann_ich_die_Lockout_Policy_f.C3.BCr_die_User_Account.27s_definieren.3F
Wie kann ich die Mobile Nummer der User im LDAP für die SMS Authentifizierung nutzen?
Dies ist nur möglich über die Funktion "Remote Users" dh. die User müssen über den LDAP lokal auf den FortiAuthenticator importiert werden. Danach steht die Mobile Nummer der User aus dem LDAP auf dem FortiAuthenticator zur Verfügung. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAuthenticator:FAQ#Wie_binde_ich_LDAP_User_f.C3.BCr_eine_SMS.2FToken_Authentication_ein.3F
Kann ich die HMTL Seiten im Zusammenhang mit dem "Self-Registration" Portal modifizieren?
Sämtliche HTML Seiten sei es für SMS, Browser und/oder EMail lassen sich über die "Replacement Message" Funktion modifizieren und abändern:
Kann ich auf der Registration Seite des "Self-Registration" Portal die Felder beeinflussen/ändern?
Die Felder auf der "Self-Registration" Seite lassen sich vollumfänglich ändern dh. auf der einen Seite laesst sich bestimmen welche Felder als "Required" definiert werden und auf der anderen Seite lässt sich die HTML Seite ändern. Dies bedeutet wiederum, Felder die nicht "Required" sind können über die HTML Seite so modifiziert/gelöscht werden damit diese nicht angezeigt werden. Ebenso können 3 zusätzlich Felder für "User Informationen" konfiguriert werden:
Required Field Configuration
Authentication > Self-service Portal > Self-registration > Required Field Configuration
Replacement Message
Authentication > Self-service Portal > Replacement Message
Custome Field
FortiAuthenticator:FAQ#Kann_ich_betreffend_User_Informationen_auf_dem_FortiAuthenticator_zus.C3.A4tzliche_Felder_ben.C3.BCtzen.2Ferstellen.3F
Wo kann ich definieren wielange eine Token Information gültig ist?
Wenn eine FortiAuthenticator einen Token aktiviert ist dieser für eine bestimmte Zeit für "ein" Login gültig. Diese Zeit zwischen Token Aktivierung/Deaktivirung kann in der "Lockout" Policy gesetzt werden. Nähere Informationen dazu siehe folgender Artikel:
FortiAuthenticator:FAQ#Wo_kann_ich_die_Lockout_Policy_f.C3.BCr_die_User_Account.27s_definieren.3F
Wie kann ich die Mobile Nummer der User im LDAP für die SMS Authentifizierung nutzen?
Dies ist nur möglich über die Funktion "Remote Users" dh. die User müssen über den LDAP lokal auf den FortiAuthenticator importiert werden. Danach steht die Mobile Nummer der User aus dem LDAP auf dem FortiAuthenticator zur Verfügung. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAuthenticator:FAQ#Wie_binde_ich_LDAP_User_f.C3.BCr_eine_SMS.2FToken_Authentication_ein.3F
Wie kann ich die "Self-Registration" Funktion im Zusammenhang mit einem "Interface" basierenden "Captive Portal" nutzen?
Das nachfolgend Beispiel zeigt einen Anwendungszweck der genutzt werden kann für ein "Interface" basierendes "Captive Portal" resp. für eine "Self-Registration" Funktion für FortiAccess Points. Die Basis dieses Beispiel ist das Grundsetup des FortiAuthenticators betreffend "Self-Registration" Funktion das nachträglich wie nachfolgend beschrieben abgeändert wird. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_vom_Ablauf_her_aus_f.C3.BCr_die_.22Self-Registration.22_Funktion.3F
Für die Konfiguration basierend auf eine "Interface" basierenden "Captive Portal" führe folgendes aus:
Schritt 1:
Verbinde die FortiAccess Points in ein Segment zB DMZ Interface sowie aktiviere auf diesem Interface einen DHCP Server für die
FortiAccess Points sowie aktiviere die CAPWAP Funktion auf dem DMZ Interface.
Schritt 2:
Konfiguriere auf der FortiGate eine SSID basierend auf der Authentifizierungs Methode "open" zB "only4dmz" sowie füge diese einem
entsprechenden FortiAccess Point Profile hinzu. Füge dieses FortiAccess Point Profile das unsere SSID "only4dmz" enthält mit der
Authentifizierungs Methode "opne" dem entsprechende FortiAccess Point als Profile hinzu.
Schritt 3:
Aktiviere auf dem DMZ Interface die Funktion "Captive Portal" unter "Security Mode". Als Gruppe für die Authentifizierung definiere
die "Self-Registration" Gruppe. Diese Gruppe enthält den FortiAuthenticator als Radius Server dh. der FortiAuthenticator wurde auf
der FortiGate als Radius Server konfiguriert und dieser Gruppe hinzugefügt. Als "Authentication Portal" definiere "external" sowie
definiere als URL den Link zum FortiAuthenticator Self-Registration Portal:
https://[IP or FQDN of FAC]/auth/register/
NOTE Beachte im Zusammenhang mit IP und/oder FQDN Zertifikats basierende Probleme. Wenn ein User einen HTTP basierende URL
aufruft und diese Anfrage über das "Captive Portal" zur "external" URL des FortiAuthenticator weitergeleitet werden soll
muss global diese Funktion aktiviert werden. Diese "globale" Konfiguration kann auf Protokoll Ebene sowie Port Ebene über
folgende Position konfiguriert werden:
Config > User & Device > Authentication > Settings
Zusätzlich, damit der Traffic zur definierten "external" URL erlaubt wird "ohne" Authentifizierung muss diese zu "Exempt List"
hinzugefügt werden damit keine Authentifizierung bei der "external" definiert URL ausgelöst wird. Diese "Exempt List" kann FQDN
und/oder IP basierend sein und kann folgendermassen definiert werden basierend auf einem Objekt:
# config firewall address
# edit [FortiAuthenticator Name zB "fac.local.intra"]
# set address [IP Adresse des FAC]
# end
# config user security-exempt-list
# edit [Name der Exempt liste zB "DMZ-exempt-list"]
# config rule
# edit 1
# set srcaddr "[Objekt des FAC zB "fac.local.intra"]"
# next
# end
# next
# end
Schritt 4:
Um den Traffic zum FAC in der Firewall Policy Rule zu erlauben resp. damit die "Exempt List" greift, muss in der entsprechenden
Firewall Policy Rule den Verweis zur "Exempt List" aktiviert werden.
# config firewall policy
# edit [Wähle eine entsprechende Policy ID]
# set srcintf [Wähle das Interface auf dem das "Captive Portal" aktiviert wurde dh. zB "DMZ"
# set srcaddr [Definiert den IP Range für die SSID "open" resp. den DHCP Server IP Range]
# set dstintf [Definiere das Interface hinter dem sich der FAC befindet]
# set dstaddr [Definiere als Destination den FAC zB als Objekt "fac.local.intra"]
# set action accept
# set schedule "always"
# set service "HTTP" "HTTPS"
# set captive-portal-exempt enable
# end
NOTE "Nach" dieser Firewall Policy Rule muss der ordentliche Traffic der SSID "only4dmz" definiert werden dh.
damit den Usern basierend auf dem IP Range der SSID "only4dmz" erlaubt wird zB auf das Internet zu zugreifen.
Desweiteren muss berücksichtigt werden, das Event. je nach Situation muss die "Exempt Liste" erweitert werden
um den Zugriff auf den FAC per FQDN sowie im Allgemeinen zu URL's zu ermöglichen dh. damit dies durchgführt
werden kann, muss der Zugriff ohne Authentifizierung auf die entsprechenden DNS Server erlaubt werden!
Schritt 5:
Wenn nun der User sich mit der SSID "only4dmz" verbindet, wird diesem - ohne Authentifizierung - eine IP aus dem
Bereich des DHCP Servers der SSID zugewiesen. Wenn der User nach diesem Vorgang eine URL aufruft zB www.google.com
wird diese Adresse im ersten Schritt über den DNS Server Aufgelöst (muss ohne Authentifizierung erlaubt werden).
Danach versucht der Client die URL resp. die IP zu erreichen. Diese Anfrage wird jedoch nicht erlaubt, wenn der
Traffic auf dem DMZ Interface mit aktivierten "Captive Portal" auftrifft. Da wir auf dem Interface für das "Captive
Portal" ein "external Captive Portal" definiert haben, mit dessen "external" URL, wird diese Anfrage zu diesem "Captive
Portal" redirected. Dieser "redirect" zum FortiAuthenticator "Self-Registration" Portal wird erlaubt da wir für
diesen Traffic eine "Exempt List" definiert haben. Bei diesem Vorgang wird der URL des Users folgende Informationen
hinzugefügt, die später benutzt werden können um die Authentifizierung "vom" FortiAuthenticator zur FortiGate
auszuführen:
magic number
username
Password
Der User für die SSID "only4dmz" kann sich nun nach dem "redirect" auf dem "Self-Registration" Portal des
FortiAuthenticator Registrieren mit dessen First name, Last name sowie Mobile number. Für diese Defintion auf dem
FortiAuthenticator ist folgendes betreffend Konfiguration zu berücksichtigen:
--> Registriere die FortiGate mit deren IP als "Radius Client" auf dem FortiAuthenticator und konfiguriere innerhalb
der "Radius Client" Konfiguration folgendes:
"Apply two-factor authentication if available (authenticate any user)"
Innerhalb der "Radius Client" Konfiguration definiere unter folgender Position eine entsprechende Gruppe die unser
"Self-Registration" Group darstellt:
"Realm > Groups"
Diese Gruppe kann innerhalb des FortiAuthenticator unter folgender Position erstellt werden:
"Authentication > User Managment > User Groups"
--> Für das "Self-Registration" Portal konfiguriere auf dem FortiAuthenticator unter nachfolgender Position Folgendes:
"Authentication > Self-Service Portal > Self-Registration"
Active the Position: "Use mobile number as username"
Place registered users into a group: "[Define the Self-Reg group which was also defined under the Radius Client]"
Password creation: "Randomly generated"
Send account information via: "Display on browser page"
SMS gateway: "[Define the SMS Gateway which was defined within FAC for HTTP Get/Post]
Ebenfalls innerhalb dieser Konfiguration definiere für "Required Field Configuration" folgende Felder:
First name
Last name
Mobile number
NOTE Für diese Konfiguration resp. für dessen Abbildung wird im Hintergrund eine "replacement message" benutzt.
da wir für die "Required Field Configuration" nicht alle Felder benutzen müssen/sollten die übrigen entfernt
werden. Dies kann in der entsprechenden "replacement message" durchgführt werden. Diese findet man unter
folgender Position:
"Authentication > Self-Service Portal > Replacement Message > User Registration Receipt"
Schritt 6:
Der User kann nun auf dem FortiAuthenticator die Self-Registrierung ausführen mit den zur Verfügung stehenden Feldern
die definiert wurden (First name, Last name, Mobile number). Das Ziel das nun zu erreichen wäre ist das Folgende: Wenn
der User nach Eingabe der "Required Field Configuration" im "Self-Registration" Portal auf "submit" klickt wird ein
entsprechender "token" ausgelöst und auf die definierte "Mobile number" im "Self-Registration" Portal gesendet. Dieser
"token" muss der User auf der "verification" Seite direkt eingeben da dies über den Konfigurationspunkt "Display on
browser page" sowie "Use mobile number as username" ausgelöst wird! Sobald dies durchgeführt wurde werden die
Informationen anhand einer modifizierten "replacement message" Seite für "Display on browser page" direkt and die
FortiGate auf den Authentication Port 1000 gesendet und somit ein direktes Login ermöglicht. Modifziere die "replacement
message" "Display on browser page" unter folgender Position folgendermassen:
"Authentication > Self-Service Portal > Replacement Message"
Suche die Position "User Registration Receipt" und ersetze den Inhalt folgendermassen:
--------------- User Registration Receipt ---------------
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>User Registration Receipt</title>
<style type="text/css">
body {
font-family: verdana,arial,helvetica,sans-serif;
max-width: 600px;
}
p, table, ul {
font-size: 12px;
}
table {
border: 1px solid lightBlue;
margin: auto;
padding: 5px;
width: 500px;
}
table td.attr-name {
font-weight: bold;
text-align: right;
width: 30%;
}
table td.attr-val {
text-align: left;
}
</style>
<script>
// Function to retreive url query parameters.
function getParameterByName(name) {
name = name.replace(/[\[]/, "\\[").replace(/[\]]/, "\\]");
var regex = new RegExp("[\\?&]" + name + "=([^&#]*)"),
results = regex.exec(location.search);
return results === null ? "" : decodeURIComponent(results[1].replace(/\+/g, " "));
}
// Prefills hidden form with auth magic.
window.onload = function() {
document.forms['login'].elements['magic'].value = getParameterByName('magic');
}
</script>
</head>
<body>
<h2>User Registration Receipt</h2>
<p>Your account has been created and is now ready to use!</p>
<table id="user-info">
<tr>
<td class="attr-name">Username:</td>
<td class="attr-val">{{:username}}</td>
</tr>
<tr>
<td class="attr-name">Account Expiry:</td>
<td class="attr-val">{{:expiry}}</td>
</tr>
</table>
<form name="login" method=POST action="http://[IP FortiGate]:1000/fgtauth">
<input type="hidden" name="magic" value="" />
<input type="hidden" name="username" value="{{:username}}"/>
<input type="hidden" name="password" value="{{:password}}"/>
<input type="submit" value="Login" />
</form>
</body>
</html>
--------------- User Registration Receipt ---------------
NOTE Ersetze die Position "http://[IP FortiGate]:1000/fgtauth" entsprechend mit der IP des DMZ Interface's!
Schritt 7:
Nun kann die Implementation getestet werden:
--> Verbinde dich mit der SSID "only4dmz" und rufe über den Browser eine URL auf zB www.google.com
--> Es wird ein "redirect" ausgeführt auf das "Self-Registration" Portal des FortiAuthenticators
--> Gebe die entsprechenden Informationen ein dh. First name, Last name sowie Mobile number
--> Bestäige die eingegebenen Informationen anhand des "submit" Buttons
--> Auf die definierte Mobile number wir ein "token" ausgelöst
--> Gebe auf der "verification" Seite die nach der Bestätigung durch "submit" erscheitn den "token" ein
--> Bestätige die "verification" Seite und es erscheint die "User Registration Receipt" Seite
--> Besätgie die "User Registration Receipt" Seite anhand des "Login" Buttons
--> Im Hintergrund wird Username (=Mobile number) sowie Password (=Random) im Hintergrund zur FortiGate gesendet (http://[IP FortiGate]:1000/fgtauth)
--> Authentifizierung wurde erfolgreich durchgeführt und die URL www.google.com wird aufgerufen
Remote Auth Servers
Wie binde ich einen LDAP Server auf dem FortiAuthenticator ein?
Ein LDAP Server wird über folgende Position definiert/konfiguriert:
Authentication > Remote Auth. Servers > Create New
NOTE Für eine Verschlüsselung steht zusätzlich "Secure Connection" über die ein LDAP
Verschlüsselt eingebunden werden kann:
Sobald der LDAP ordnungsgemäss konfiguriert wurde sollte über die folgende Position innerhalb der LDAP Konfiguration auf dem FortiAuthenticator der LDAP anhand dem "Browse" Symbole getestet werden:
Kann ich im FortiAuthenticator zusätzlich zu einem Primären LDAP Server für "Fallback" einen Secondären LDAP Server konfigurieren?
Unter dem FortiAuthenticator 3.0 war es nicht möglich, bei der Konfiguration eines LDAP Servers, einen zweiten "Secondären" LDAP Server zu konfigurieren um einen "Fallback" abzudecken. Im FortiAuthenticator 3.1 ist dies nun möglich und wird unter folgender Position konfiguriert:
Authentication > Remote Auths Servers > LDAP > [Aktiviere "Use secondary server"]
Wie binde ich LDAP User für eine SMS/Token Authentication ein?
Nun wenn ein FortiAuthenticator betrieben wird und ein LDAP konfiguriert wurde fragt man sich wie diesen Usern ein Token zugewiesen wird? Ebenfalls wenn eine SMS Authentifizierung mit diesen LDAP Usern konfiguriert werden will wie man die bereits bestehenden Informationen im LDAP wie zB die Mobile Nummer genutzt werden kann auf dem FortiAuthenticator. Nun dieses Problem lässt sich in beiden Fällen nur lösen wenn die Remote LDAP User in den FortiAuthenticator importiert werden. Zu diesem Zweck steht auf dem FortiAuthenticator die Funktion "Remote User" zur Verfügung:
Authentication > User Management > Remote Users
Diese Importierten User können nachträglich in einer Gruppen inder LDAP aktiviert wurde hinzugefügt werden:
Wenn sich LDAP Informationen ändern für User ändert sich dann automatisch die Informationen importierter LDAP User?
Wenn über die "Remote Users" Funktion LDAP User importiert wurden stehen dort die LDAP Informationen des Users wie zB deren Mobile Nummer zur Verfügung. Aendert nun zB ein Administrator die Mobile Nummer eines LDAP Users im LDAP wird diese Information nicht automatisch auf dem FortiAuthenticator für den User innerhalb der importierten User List auf den neusten Stand gebracht. Dies kann auf der einen Seite Manuell durchgeführt werden oder Automatisiert. Für die manuelle Variante wird der User erneut als "Remote User" importiert und so auf den neusten Stand gebracht. Für die automatische Variante steht die Funktion "Remote User Sync Rules" zur Verfügung:
NOTE Bei dieser Funktion ist Vorsicht geboten. Bei einer falschen Konfiguration kann es dazu kommen
das die User Information fälschlicherweise überschrieben werden. Es ist zu empfehlen die Funktion
nur dann zu nutzen wenn nicht darauf verzichtet werden kann!
Wie und wo erfasse ich einen Radius Client auf dem FortiAuthenticator?
Nun möchte man zB auf einer FortiGate Radius Authentication benutzen resp. FortiAuthenticator so muss folgendes als Grundvoraussetzung konfiguriert werden:
- Vergewissere dich, dass auf beiden Geräten FortiGate und/oder FortiAuthenticator die korrekte Zeitzone gesetzt ist sowie
die Zeit korrekt mit dem gleichen Zeit-Server synchronisert wird!
- Vergewissere dich, dass beide Geräte über einen DNS "A" Record verfügt sowie -sofern möglich- über einen PTR Record
- Erfasse auf der FortiGate den FortiAuthenticator und vergebe ein "Preshared Secret" (Als Radius Server):
User & Device > Authentication > RADIUS Servers > Create New
NOTE Standardsgemäss läuft Radius auf einer FortiGate auf Port 1812 (New Radius) und Radius Accounting auf Port 1813 (Radius
New Accounting). Muss aus irgendwelchen Gründen "Old Radius" (Port 1645) benutzt werden so muss diese Konfiguration über
Komandozeile auf der FortiGate durchgeführt werden:
# config system global
# get | grep radius-port
# set radius-port 1645
# get | grep radius-port
# end
- Erfasse auf der FortiAuthenticator die FortiGate (Radius Client) und vergebe das "Preshared Secret" des Eintrages des Radius Servers
auf der FortiGate (Radius Server):
Authentication > RADIUS Service > Clients > Create New
NOTE Bei der Radius Client Konfiguration ist darauf zu achten auf WAS basierend die Authentifizierung
durchgeführt wird dh. Remote Server, Local Server etc. Weitere Informationen siehe folgender Artikel:
FortiAuthenticator:FAQ#Auf_was_muss_geachtet_werden_wenn_auf_dem_Radius_Client_unterschiedliche_Authentifizierungen_ben.C3.B6tigt_werden.3F
NOTE Sobald die Konfiguration durchgeführt wurde kann die Verbindung die durch das "Preshared Secret" verschlüsselt
wird getestet werden. Dafür kann temp. ein "lokaler" User auf dem FortiAuthenticator erfasst werden und dieser für
Radius Authentication freigegeben werden. Dazu muss ein lokaler User mit dessen Passwort erfasst werden unter:
Authentication > User Management > Local User > Create New
--> Danach erstelle für diesen User eine lokale Gruppe unter folgender Position und füge den soeben erstellten
User hinzu:
Authentication > User Management > User Groups > Create New
--> Diese Gruppe muss nun zum entsprechenden Eintrag des "Radius Client" (Auth. Clients) hinzugefügt werden:
Authentication > RADIUS Serive > [Wähle den entsprechenden Eintrag für den "Radius Client"]
--> Unter "Authenticate" wähle:
Local users from selected groups only > [Füge die entsprechende Gruppe die erstellt wurde hinzu]
--> Nun kann auf der FortiGate anhand des "Test" Button und anhand des Usernamens und Passwort für den User
den wir soeben erfasst haben getestet werden:
User & Device > Authentication > RADIUS Servers > [Wähle den entsprechenden Eintrag]
Auf was muss geachtet werden wenn auf dem Radius Client unterschiedliche Authentifizierungen benötigt werden?
Ein FortiAuthenticator kann verschiendenartig benutzt werden dh. zB um Two-Factor Authentifizierungenen anhand LDAP für VPN Access über eine FortiGate bereitzustellen und zB Self-Service Funktion über ein Captive Portal für eine SSID auf einer anderen FortiGate. In diesem Zusammenhang muss auf folgendes geachtet werden:
Bei der Erfassung der Radius Client's (FortiGate's) darf nicht die Position "Authenticate" auf "All local user" und/oder "All remote users"
gesetzt werden ansonsten werden kann der Unterschied zwischen Remote und/oder Lokalen Usern nicht mehr durchgeführt werden. Die Beste
Vorgehensweise in jedem Fall ist "Gruppen Basierend" zu arbeiten dh. die folgende Position ist zu aktivieren:
Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Eintrag]
Der Unterschied zwischen Remote Users LDAP und Lokalen Usern für das Self-Service wird anhand der Gruppen definiert dh.:
NOTE In der Gruppe selber kann für LDAP die entsprechende Konfiguration durchgeführt werden. Für das
Self-Service kann ein Lokale Gruppe angegeben werden die unter "Self-service Portal" definiert
ist:
Authentication > User Management > User Groups
Die Gruppen können dann im Radius Client definiert werden und unterscheiden vers. Funktionen resp. Authentifizierungen
auf dem gleichen Radius Client!
Nun ein weiteres Problem kommt auf "wenn" beide Authentifizierungs Methoden über den "gleichen" Radius Client benützt werden soll dh. zB wenn die LDAP für VPN Access und Self-Service über den gleichen Radius Client benutzt werden sollen. Solange 2 unterschiedliche Radius Clients auf dem FortiAuthenticator erfasst werden kann der Unterschied zwischen "Local Users" und/oder "Remote Users" durchgeführt werden. Dies bedeutet "pro" Radius Client der erfasst wird auf dem FortiAuthenticator kann nur "eine" Authentifizierungs Methode benutzt werden. Um "Local Users" und/oder" "Remote Users" für einen Radius Client zu ermöglichen gehe folgendermassen vor:
- Erfasse einen Radius Client sowie auf der FortiGate einen Radius Server wie üblich:
FortiAuthenticator:FAQ#Wie_und_wo_erfasse_ich_einen_Radius_Client_auf_dem_FortiAuthenticator.3F
- Der neu erfasst Radius Server auf der FortiGate wird einer neuen Gruppe zB Group-I" hinzugefügt:
User & Device > User > User Groups > Create New
- Vergebe für die Gruppe einen entsptrechenden Namen sowie unter "Remote Groups" füge anhand "Add" den Radius Server hinzu.
- Nun erfassen wir auf dem Interface über die die Radius Authentifizierung läuft ein Sekundäres Interface mit einer seperaten
IP/IP Range:
System > Network > Interfaces > Secondary IP Addrss > Create New
NOTE Um festzustellen über welches Interface die Authentifizierung läuft kann das Sniffer Kommando
benützt werden:
# diagnose sniffer packet any "port 1812"
- Nun erstelle auf der FortiGate einen weiteren Eintrag für den Radius Server mit der gleichen IP wie bereits vorgängig erstellt.
Die Namen der Radius Server müssen sich unterscheiden. Als Resultat haben wir zwei gleiche Einträge für den gleichen Radius
Server mit gleicher IP jedoch mit unterschiedlichen Namen (Preshared Secret ist das gleiche bei beiden Einträgen)
- Der neu erfasst Radius Server auf der FortiGate wird einer neuen Gruppe und/oder einen bestehenden Gruppe wie zB Group-I" hinzugefügt:
User & Device > User > User Groups > Create New
- Nun wenn eine Authentifizierung über das Sekundäre Interface laufen würde so wäre die Source IP die des pysikalischen Interfaces.
Um dies zu ändern führe folgendes durch:
# config user radius
# edit [Wähle den entsprechenden Radius Server]
# set source-ip [IPv 4 Adresse]
# end
NOTE Wähle den Radius Server der als Zweites sprich für das sekundäres Interface erfasst wurde!
Als "source-ip" setzt die IP Adresse des "Sekundären Interfaces".
- Auf dem FortiAuthenticator erfasse nun zusätzlich basierend auf der sekundären Interface Adresse einen zweiten Radius Client. Füge
dem ersten Radius Client nun die zB die "Remote User" hinzu und dem zweiten Radius Client die "Local User". Teste die Konfiguration.
Wo kann ich für den FortiAuthenticator den Agent for Microsoft Windows runterladen?
Den Agent für Microsoft Windows kann man direkt im FortiAuthenticator runterladen:
Authentication > FortiAuthentication Agent
Dieser Agent steht unter Fortinet Support resp. im Download Verzeichnis des FortiAuthenticator nicht zur Verfügung und kann ausschliesslich über den FortiAuthenticator runtergeladen werden. Vor der Installation ist zu empfehlen den Admin Guide "FortiAuthenticator 3.0 Agent For Windows Administration Guide" zu konsultieren. Diesen Admin Guide findet man im nachfolgenden Artikel:
FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wie kann ich für einen Microsoft Windows Server eine "reine" Radius Authentifizierung einrichten?
Grundsätzlich steht für einen Windows Server im Verwendung zum FortiAuthenticator der "Agent for Microsoft Windows" zur Verfügung. Dieser Agent ermöglicht eine "reine" Two-Factor Authentifizierung basierend auf LDAP und Radius Server! Wenn jedoch eine "Einfache Radius" Authentifizierung gewünscht wird bewerkstelligt dies dieser "Agent for Microsoft Windows" nicht. Der "Agent for Microsoft Windows" basiert auf der "Gina" Schnittstelle von Windows. Das OpenSource Project "pGina" benutzt exakt die gleiche Vorgehensweise und ist deshalb predistiniert für eine reine "Radius Authentifizierung". pGina benutzt dazu sein eigenes "Radius Plug-In". Nachfolgendes Beispiel zeigt wie "pGina" installiert sowie konfiguriert wird:
•Plugin Name: RADIUS Authentication & Accounting Plugin
•Plugin Type: Authentication, Notification
•Version: 3.1.x
pGina Page http://pgina.org/
pGina Download http://pgina.org/download.html
RADIUS Plugin Documentation http://pgina.org/docs/v3.1/radius.html
NOTE Nachfolgendes Beispiel wurde im Zusammenhang mit einem Windows 2008 R2 Server durchgeführt!
Konfigurieren des Radius Client (Windows Server) auf dem FortiAuthenticator für pGina:
- Erfasse den Windows Server auf dem Authenticator als "Radius Client" und achte darauf, dass
unter dem Eintrag des "Radius Client" folgende Position aktiviert ist:
Password-only authentication (exclude users without a password)
NOTE pGina unterstützt keine Two-Factor Authentification!
Weitere Details betreffend des Erfassens des "Radius Client" auf dem FortiAuthenticator siehe
nachfolgenden Artikel:
FortiAuthenticator:FAQ#Wie_und_wo_erfasse_ich_einen_Radius_Client_auf_dem_FortiAuthenticator.3F
Installation von pGina:
- Lade die Software pGina von der oben genannten Seite runter und starte die Installation anhand
des Files "pGinaSetup-3.1.8.0.exe". Achte darauf das pGina mit vollen Administratoren Rechten
installiert wird.
- Nach der Installation befindet sich unter "Start > All Programs" ein neuer Order mit dem Namen
"pGina". Darin befindet sich Konfigurations Utilitie "pGina":
"C:\Program Files\pGina\pGina.Configuration.exe"
Radius Plug-In Konfiguration von pGina:
- Unter dem Register "Plug-In Selection" aktiviere die "Radius" Position gemäss Abbildung:
- Danach markiere die Zeile für "Radius" und gehe auf "Configure":
Server [Gebe die IP des FortiAuthenticators an]
Shared Secret [Gebe das Shared Secret an das für den Radius Client auf dem FortiAuthenticator definiert wurde]
Maschine Identifier [IP Address Only]
- Der nächste Schritt ist Optional und wird dann benötigt wenn der User der einloggt über "pGina" in eine bestimmt Gruppe
hinzugefügt werden soll. In unserem Beispiel wird "pGina" auf einem Terminal Server benutzt dh. damit die User -die lokal
nicht existieren sondern beim einloggen angelegt werden- einloggen können müssen diese zur Gruppe "Remote Desktop Users"
hinzugefügt werden. Um die Konfiguration durchzuführen markiere die Zeile für "Local Machine". Danach gehe auf "Configure":
NOTE Je nachdem "was" für Software installiert wird und je nachdem über welche Rechte die User verfügen sollen muss die
"reguläre" Gruppe "Users" ebenfalls hinzugefügt werden!
- Nun muss als nächsten Schritt die Authentifizierungs Reihenfolge geändert werden dh. von "Local Maschine" auf "Radius".
Dazu wähle den Register "Plug-In Order" und verändere entsprechend die Reihenfolge:
- Nun muss verhindert werden, dass die lokale Authentifizierung auf dem Windows Server berücksichtigt wird resp. unterdrückt
wird. Dazu wähle den Register "Credential Provider Options" und führe folgende Konfiguration durch:
Windows Group Policy Konfiguration:
- Damit die RDP Verbindung im Zusammenhang mit dem Windows Terminal Server sowie "pGina" funktioniert muss die RDP Verbindung
betreffend Verschlüsselung auf "Low Level" gesetzt werden. Dazu führe als Administrator folgendes aus:
Start > Run > GPedit.msc
Wähle die entsprechende Position gemäss Abbildung und danach setzt für die Verbindung resp. Encryption "Low Level":
- Als Letzteres muss die Password Komplexität deaktiviert werden ansonsten erscheinen Fehlermeldungen unter "pGina" im Register
"Simulation". Die Passwort Komplexität wird über den FortiAuthenticator gesteuert unter "Authentication > User Account Policies >
Passwords". Wähle gemäss Abbildung die entsprechende Position und setze diese auf Disabled:
Testen der pGina Funktion:
- Nun kann das "pGina" Radius Plug-In getestet werden dh. Vorraussetzung dafür ist:
--> Korrekt erfasster (Preshared Secret und IP) Radius Client (Windows Server) auf dem FortiAuthenticator
--> Existierender User auf dem FortiAuthenticator der in einer entsprechenden Gruppe Mitglied ist und diese für den Radius Client konfiguriert ist
Im "pGina" Plug-In gehe nun auf den Register "Simulation" und gebe dort den entsprechenden Username und Passwort ein. Danach gehe
auf den "grünen Pfeil" neben den Passwort. Die Werte werden abgespeichert und die Verbindung getestet. Im Bereich "Results" wird
ein erfolgreicher Test protokolliert. Details dieses Test können unter "Show Log" eingesehen werden.
Messsaging Service/Server
Wo kann ich für das Versenden von EMail's einen SMTP Server definieren?
Ein SMTP Server (inkl. STARTTLS) der dazu dient EMails für die Services auf einem FortiAuthenticator zu versenden kann unter folgender Position definiert werden:
System > Messaging > SMTP Servers > Create New
NOTE Ein entsprechender Server kann als "Default" definiert werden. Dies bedeutet: Wenn zwei SMTP
Server konfiguriert werden und einer dieser als "Default" definiert wird gilt der der nicht
als "Default" definiert als "Fallback" SMTP Server:
Der neu erfasste "SMTP Server" muss/kann nun für den E-Mail Service betreffend User/Administratoren zugewiesen werden! Wird dies nicht explizit durchgeführt gilt die Definitin des "Default Server". Die Konfiguration wird unter folgende Position durchgeführt:
Wo kann ich für das Versenden von SMS Nachrichten einen entsprechenden SMS Gateway definieren?
Um SMS Nachrichten zu versenden stehen grundsätzlich folgende Protokolle zur Verfügung:
SMTP
HTTP (Get oder Post)
HTTPS
Die bevorzugte Variante ist HTTP oder HTTPS. Der Grund ist, die Nachrichten werden direkt beim SMS Provider abgesetzt und müssen nicht wie bei der SMTP Methode zuerst über Mailgateways versendet werden. Wenn dennoch die SMTP Methode gewählt wird kann ein entsprechender Server folgendermassen definiert werden:
NOTE Bei der Definierung der Position "Mail-to-SMS gateway" muss darauf geachtet werden, dass event. die Variable "Country code VOR der Variable Mobile number gesetzt wird. Die Einstellungen können über die Position "E-mail Preview" kontrolliert werden:
Wie gesagt die bevorzugte Variante wäre HTTP Get resp. HTTPS Get. Der Vorteil dieser Art und Weise der SMS Uebermittlung liegt daran, dass die SMS Auslösung in "Echtzeit" geschieht. Dies bedeutet das SMS wird über zB über "HTTP Get/Post" direkt über eine URL beim Provider abgesetzt resp. ausgelöst und muss nicht über Email zuerst ausgelöst und zum Provider übermittelt werden (Zeitverzögerung). Eine "HTTP Get" Implementierung unterscheidet sich nicht gegenüber einer "HTTPS Get" Implementierung dh. ausser das bei "HTTPS Get" das "Trusted Certificate" des SMS Providers in der CA des Authenticators eingelesen werden muss (Certificate Management > Certifcate Authorities > Trusted CAs > Import) um dieses nachträglich in der SMS Gateway Konfiguration unter "CA certificate" anzugeben. Von einer "HTTP Post" Implementierung ist abzusehen da die Kompatibilität gegenüber den Providern mehrheitlich nicht gegeben ist. Ebenso sprechen vers. "Security Aspekte" nicht für eine HTTP Post Implementierung. Hinsichtlich, dass für die Uebermittlung ein "Username" und "Passwort" übermittelt werden muss ist es ratsam "HTTPS Get" zu benutzen um das Passwort nicht "clear-text" übermitteln zu müssen.
Grundsätzlich funktioniert die Uebermittlung anhand einer URL dh. man bekommt von dem Provider eine Seite/Funktion auf der über die URL ein SMS abgesetzt werden kann. Es gilt nun diese URL in Ihre Bestandteile zu zerlegen und die einzelnen Funktionen dem "FortiAuthenticator" unter "SMS Gateway" mitzuteilen. Wenn dies korrekt durchgeführt wurde, wird dies über "URL Preview" in der Konfiguration angezeigt und kann getestet werden. Im nachfolgenden Beispiel einer Implementierung des Providers sieht die URL folgendermassen aus:
Dolphin Systems AG http://www.dolphin.ch) URL Preview: http://www.ecall.ch/ecallurl/ecallurl.ASP?WCI=Interface&Function=SendPage&Address=0041795555555&Message=Test&AccountName=Username&AccountPassword=Password In diesem Beispiel sind die relevanten Funktionen: API URL=www.ecall.ch/ecallurl/ecallurl.ASP WCI=Interface Function=SendPage Address=[Mobile Numme mit Landesvorwahl] Message=[Nachricht die Uebermittelt werden soll] AccountName=[Username des Accounts beim SMS Provider] AccountPasswort=[Passwort des Accounts beim SMS Provider] Diese Informationen müssen nun der "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden:NOTE Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Dolphin Systems AG" folgender Code: ResultPage\sResultCode:0
Truesenses http://www.truesenses.com) URL Preview: http://www.truesenses.com/cgi-bin/smsgateway.cgi?CMD=SENDMESSAGE&NUMBER=0041795555555&MESSAGE=Test&ACCOUNT=Username&PASSWORD=Password In diesem Beispiel sind die relevanten Funktionen: API URL=www.truesenses.com/cgi-bin/smsgateway.cgi CMD=SENDMESSAGE NUMBER=[Mobile Numme mit Landesvorwahl] MESSAGE=[Nachricht die Uebermittelt werden soll] ACCOUNT=[Username des Accounts beim SMS Provider] PASSWORD=[Passwort des Accounts beim SMS Provider] Diese Informationen müssen nun der "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden:NOTE Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Truesenses" folgender Code: 01 SENT
Wo kann ich für EMail/SMS Token das Timout definieren?
Wenn ein EMail Token und/oder SMS Stoken vom FortiAuthenticator abgesetzt wird ist dieser Token für eine bestimmte Zeit gültig dh. sobald der User diesen benutzt gilt er als abgelaufen und kann somit nicht ein zweites Mal benutzt werden. Diese Zeit dh. das Timeout dieses Token kann unter folgender Position definiert werden:
NOTE Wir ein Token über EMail benutzt darf die Zeit nicht "zu kurz" gesetzt werden ansonsten tritt
die Situation auf, dass der Token über EMail zwar zugestellt wird jedoch das Timeout bereits
abgelaufen ist!
Backup/Restore
Wie führe ich ein manuelles Backup/Restore auf einem FortiAuthenticator aus?
Ein manuelles Backup und/oder Restore kann unter folgender Position erstellt werden:
System > Dashboard > Status > System Information > System Configuration > Backup/Restore
NOTE Ein Backup eines FortiAuthenticator besteht aus einem ".conf" File. Dieses File ist jedoch
nicht editierbar und/oder leserlich sowie ist ein "binary" File.
Kann ich ein Backup für den FortiAuthenticator Automatisieren?
Ein Backup für einen FortiAuthenticator lässt sich über "FTP/SFTP" Automatisieren und zwar über folgende Position:
System > Administration > Config Auto-backup
NOTE Der entsprechende FTP Server der unter dieser Position gewählt werden muss kann über folgende
Position konfiguriert werden:
System > Administration > FTP Servers > New
Monitor
Gibt es eine Möglichkeit User zu "monitoren" resp. zu sehen ob diese Inaktiv sind?
Folgende Monitoring Position ermöglicht einen Ueberlick zu geben über "Windows AD" User und "Inaktive User":
Logging
Wo sehe ich das Log eines FortiAuthenticators?
Das Log eines FortiAuthenticators befindet sich unter folgender Position:
Logging > Log Access > Logs
NOTE Wenn ein Log-Eintrag gewählt wird so werden die Details auf der rechten
Seite angezeigt!
Kann ich die Log's eines FortiAuthenticators Automatisiert auf einen Remote Server transferieren?
Ja dies ist möglich und kann unter folgender Position für FTP/SFTP konfiguriert werden:
Logging > Log Config > Log Setting
In dieser Konfiguration muss ein entsprechender FTP/SFTP Server angegeben werden. Diese Vordefinierung des FTP/SFTP Server kann über folgende Position durchgeführt werden:
System > Administration > FTP Servers
Kann ich die Logs auf einem FortiAuthenticator automatisch nach einer gewissen Zeit löschen?
Der FortiAuthenticator verfügt über eine "autodeletion" Funktion betreffend den Logs. Diese Konfiguration befindet sich unter folgender Position:
Logging > Log Config > Log Setting
NOTE In diesem Zusammenhang mit der "autodeletion" Funktion sollte berücksichtigt werden, dass die
Logs ebenfalls auf einen Remote Server gespielt werden können dh. Diese zwei Funktionen ergänzen
sich und können gemeinsam benutzt werden. Weitere Informationen zur Funktion der Transferierung
der Logs auf einen Remote Server findet man im nachfolgenden Artikel:
FortiAuthenticator:FAQ#Kann_ich_die_Log.27s_eines_FortiAuthenticators_Automatisiert_auf_einen_Remote_Server_transferieren.3F
Kann ich die für den FortiAuthenticator einen Syslog Server konfigurieren?
Der FortiAuthenticator bietet die Funktion seine Logs einem Syslog Server zu übermitteln.. Unter folgender Position wird ein Syslog Server konfiguriert/definiert:
Logging > Log Config > Syslog Servers
Nach der Definition eines Syslog Servers kann die Syslog Funktion über folgende Position aktiviert werden:
Logging > Log Config > Log Setting
CLI
Welche Kommandos stehen auf der FortiAuthenticator Kommandozeile zur Verfügung?
Auf einem FortiAuthenticator kann nachdem erfolgreichen Login anhand "help" der zur Verfügung stehenden Befehlsatz abgerufen werden:
> help
FortiAuthenticator Console
General:
help Display this text.
? Synonym for `help'.
exit Exit from the CLI.
Configuration:
show Show bootstrap configuration.
set Set configuration parameter (set <attribute> <value>).
Available attributes/values for set:
port1-ip <IP/netmask>
e.g. port1-ip 1.2.3.4/24
default-gw <IP>
date <YYYY-MM-DD>
time <HH:MM:SS>
tz <timezone_index>
e.g. tz 4
ha-mode <enable|disable>
ha-port <interface name>
ha-priority <high|low>
ha-mgmt-ip <IP/netmask>
e.g. ha-mgmt-ip 1.2.3.4/24
ha-mgmt-access <ssh|https|http|telnet>
e.g. ha-mgmt-access ssh http
ha-dbg-level <level>
levels: -4 (Fatal) -> 4 (Debug high), default: -2 (Warn)
unset Unset configuration parameter (unset <attribute>).
Available attributes for unset:
port1-ip
default-gw
ha-mgmt-ip
ha-mgmt-access
System:
reboot Reboot the FortiAuthenticator.
factory-reset Reformats harddisk and resets configuration to factory defaults.
shutdown Shutdown the FortiAuthenticator.
status Display system status information.
ha-rebuild Rebuild an HA node from the peer's database.
restore-admin Enable default admin access methods on port1.
Utilities:
dig Advanced tool for DNS debugging.
nslookup Basic tool for DNS debugging.
ping Test network connectivity to another network host.
tcpdump Examine local network traffic.
traceroute Examine route taken to another network host.
Diagnostics:
hardware-info Display general hardware status information.
disk-attributes Display system disk attributes.
disk-errors Display any system disk errors.
disk-health Display disk health information.
disk-info Display disk hardware status information.
raid-hwinfo Display RAID hardware status information.