FortiAuthenticator:FAQ
FortiAuthenticator:FAQ
Vorwort
Diese FAQ's sind für FortiAuthenticator Systeme basierend auf OS 3.x/4.x
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
License
Wie wird ein FortiAuthenticator unter VMware installiert?
Nachfolgender Aritkel gibt Auskunft wie ein FortiAuthenticator unter VMware installiert wird:
Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F
Wie wird eine License für FortiAuthenticator für VMware registriert und eingespielt?
Wenn man einen FortiAuthenticator für VMware ohne Lizenz installiert fällt einem auf, dass dieser über keine Serien Nummer verfügt! Diese Serien Nummer wird erst bei der Erstellung der Lizenz im Support Portal anhand der IPv4 Adresse erstellt. Dies bedeutet: Als Lizenz Lieferung erhält man zB folgendes Dokument:
Datei:FACVM0001001.pdf
In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung im Support Portal durchgeführt. Um die Registrierung anhand des "Registration Code" durchzuführen führe ein Login anhand Usernamen und Passwort durch auf dem Support Portal in dem der FortiAuthenticator registriert werden soll:
http://support.fortinet.com
Die nachfolgenden Abbildungen zeigen den Vorgang anhand eines FortiAnalyzer's dh. der Vorgang eines FortiAuthenticator's
unterscheidet sich nicht und ist identisch!
Datei:Fortinet-212.jpg
Datei:Fortinet-213.jpg In diesem Punkt muss nun die IPv4 Adresse definiert werden
Datei:Fortinet-214.jpg
Datei:Fortinet-215.jpg Unter diesem Punkt kann nun das "License File" das auf dem FortiAuthenticator eingespielt werden muss, runtergeladen werden!
Der Registrierungsprozess ist abgeschlossen und die Serien Nummer des FortiAuthenticators ist im License File enthalten. Das License File kann nun auf dem FortiAuthenticator unter folgender Position eingespielt werden:
System > Administration > Licensing
Nachdem einspielen der License werden die Services des FortiAuthenticator neu gestartet. Nachdem neu eingeloggt wurde kann nun die Serial Nummer der Installation aus der folgenden Position eruiert werden:
System > Dashboard > Staus > System Information > Serial Number
Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.
Was sind für den FortiAuthenticator VMware basierend die System Requirements?
Der FortiAuthenticator für VMware hat folgendes System Requirements:
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAuthenticator Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/ (Legacy Link http://docs.fortinet.com/fauth.html)
FortiAuthenticator 3.0
Datei:FAC-3.0-What's-New.pdf (FortiAuthenticator 3.0 What's New Guide)
Datei:Fac-admin-guide.pdf (FortiAuthenticator 3.0 Administration Guide)
Datei:FortiAuthenticator REST API Solution Guide.pdf (FortiAuthenticator 3.0 REST API Solution Guide)
Datei:FortiAuthenticator Agent for Microsoft Windows Admin Guide.pdf (FortiAuthenticator 3.0 Agent For Windows Administration Guide)
Datei:FortiAuthenticator Two-Factor Authentication Interoperability Guide.pdf (FortiAuthenticator 3.0 Interoperability Guide)
Datei:FortiAuthenticator Certificate Based SSL-VPN Solution Guide.pdf (FortiAuthenticator 3.0 Certifcate Based SSL VPN Solution Guide)
Datei:FortiAuthenticator Token Based SSL-VPN Solution Guide.pdf (FortiAuthenticator 3.0 Token Based SSL VPN Solution Guide)
Datei:Fortiauthenticator-Radius-Accounting-SSO-Design-Guide.pdf (FortiAuthenticator 3.0 RADIUS Accounting with SSO for FortiOS 5.2.4 Design Guide)
Datei:Allowing-SSO-access-with-FGT-and-FAC.pdf (Allowing Single Sign-On access with a FortiGate and a FortiAuthenticator)
FortiAuthenticator 3.1
Datei:FAC-3.1-What's-New.pdf (FortiAuthenticator 3.1 What's New Guide)
Datei:FortiAuthenticator REST API Solution Guide-31.pdf (FortiAuthenticator 3.1 REST API Solution Guide)
Datei:FortiAuthenticator FAQ.pdf (FortiAuthenticator 3.1 FAQ)
Datei:Fortiauthenticator-31-fortios-52-wireless-eap-tls-win7.pdf (FortiAuthenticator v3.1, FortiOS v5.2.0, and Windows 7 SP1 Wireless EAP-TLS Configuration)
Datei:Fortiauthenticator-31-fsso-authentication-user-guide.pdf (FortiAuthenticator v3.1, FSSO (Fortinet Single Sign-On User Guide))
Datei:Fortiauthenticator-two-factor-authentication-interoperability-guide.pdf (FortiAuthenticator v3.1, Ineroperability Guide)
FortiAuthenticator 3.2
Datei:FAC-3.2-What's-New.pdf (FortiAuthenticator 3.2 What's New Guide)
Datei:FortiAuthenticator REST API Solution Guide-32.pdf (FortiAuthenticator 3.2 REST API Solution Guide)
Datei:Fortiauthenticator-32-fsso-authentication-user-guide.pdf (FortiAuthenticator v3.2, FSSO (Fortinet Single Sign-On User Guide))
FortiAuthenticator 3.3
Datei:FAC-3.3-What's-New.pdf (FortiAuthenticator 3.3 What's New Guide)
Datei:FortiAuthenticator Agent for Microsoft Windows Admin Guide.pdf (FortiAuthenticator 3.3 Agent For Windows Administration Guide)
Datei:FortiAuthenticator Agent for Microsoft IIS & OWA - Install Guide.pdf (FortiAuthenticator 3.3 Agent For Microsoft IIS & OWA Install Guide)
FortiAuthenticator 4.0
Datei:Fac-4.0-admin-guide.pdf (FortiAuthenticator 4.0 Administration Guide)
Datei:FAC-4.0-What's-New.pdf (FortiAuthenticator 4.0 What's New Guide)
Datei:FortiAuthenticator REST API Solution Guide-40.pdf (FortiAuthenticator 4.0 REST API Solution Guide)
Datei:FortiAuthenticator Captive Portal Guide-40.pdf (FortiAuthenticator 4.0 Captive Portal Guide 1.0)
Datei:Fac-radius-accounting-proxy-40.pdf (FortiAuthenticator 4.0 RADIUS Accounting Proxy Configuration Guide)
Datei:Fac-agent-for-ms-iis-owa-guide-40.pdf (FortiAuthenticator 4.0 Agent for Microsoft IIS/OWA - Install Guide)
Datei:Fac-agent-for-ms-windows-guide-40.pdf (FortiAuthenticator 4.0 Agent for Microsoft Windows Administration Guide)
Datei:Fac-certificate-based-ssl-vpn-guide-40.pdf (FortiAuthenticator 4.0 Certificate Based SSL VPN Solution Guide)
Datei:Fac-two-factor-guide-40.pdf (FortiAuthenticator 4.0 Two-Factor Authentication Agent for Windows)
Datei:FortiAuthenticator FSSO Authentication User Guide.pdf (FortiAuthenticator 4.0 FSSO Authentication User Guide)
Datei:FortiAuthenticator 4.0 Token-Based SSL VPN Solution Guide.pdf (FortiAuthenticator 4.0 Token-Based SSL VPN Solution Guide)
FortiAuthenticator 4.1
Datei:Fac-4.1-admin-guide.pdf (FortiAuthenticator 4.1 Administration Guide)
Datei:Fac-2Factor Auth Web Applications Guide.pdf (FortiAuthenticator Two-Factor Authentication for Web Applications Solution Guide)
Datei:FortiAuthenticator REST API Solution Guide-41.pdf (FortiAuthenticator 4.1 REST API Solution Guide)
FortiAuthenticator 4.2
Datei:Fac-4.2-admin-guide.pdf (FortiAuthenticator 4.2 Administration Guide)
FortiAuthenticator 4.3
Datei:Fac-4.3-admin-guide.pdf (FortiAuthenticator 4.3 Administration Guide)
Datei:Fac-agent-for-ms-windows-guide-43.pdf (FortiAuthenticator 4.3 Agent for Microsoft Windows Administration Guide)
FortiAuthenticator 5.0.0
Datei:FAC-Admin-Guide-5.0.0.pdf (FortiAuthenticator 5.0.0 Administration Guide)
Datei:FAC REST API Solution Guide-5.0.0.pdf (FortiAuthenticator 5.0.0 REST API Solution Guide)
FortiAuthenticator 5.1.0
Datei:FAC-Admin-Guide-5.1.0.pdf (FortiAuthenticator 5.1.0 Administration Guide)
FortiAuthenticator 5.1.1
Datei:FAC-Admin-Guide-5.1.1.pdf (FortiAuthenticator 5.1.1 Administration Guide)
FortiAuthenticator 5.2.0
Datei:FAC-Admin-Guide-5.2.0.pdf (FortiAuthenticator 5.2.0 Administration Guide)
FortiAuthenticator 5.4.0
Datei:FAC-Admin-Guide-5.4.0.pdf (FortiAuthenticator 5.4.0 Administration Guide)
Datei:FAC-REST API-SolutionsGuide-5.4.0.pdf (FortiAuthenticator 5.4.0 REST API Solution Guide)
FortiAuthenticator 5.5.0
Datei:FAC-Admin-Guide-5.5.0.pdf (FortiAuthenticator 5.5.0 Administration Guide)
| Version 6.3.0 |
|
| Version 6.3.1 |
|
|
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer FortiAuthenticator Hardware?
Weitere Informationen siehe folgender Artikle:
FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Upgrade
Wie kann ich auf einem FortiAuthenticator ein Upgrade durchführen?
Ein FortiAuthenticator lässt sich über das Mgmt. Web Interface auf den neusten Stand bringen. Für einen kompletten upgrade kann folgendermassen vorgegangen werden:
| Menuführung | Beschreibung |
|---|---|
 |
Über das Support Portal von Fortinet https://fortinet.support.ch kann die entsprechende Software heruntergeladen werden. Nach dem Einloggen auf Download -> Firmware Images gehen. Bei Select Product den FortiAuthenticator auswählen. Nun kann über Download die entsprechende Firmware heruntergeladen werden. Im Tab Release Notes kann noch das aktuelle Release Note File heruntergeladen werden. Wir empfehlen vor einem Upgrade diese genau zu studieren. Die Release Notes geben auch Aufschluss wie der Upgrade Pfad eingehalten werden muss. |
 |
Hier kann die entsprechende Datei zum gewünschten Produkt heruntergeladen werden. Über den https Link bekommt man die Datei, über Checksum kann die Checksume der Datei vergliechen werden. |
 |
Auf dem FortiAuthentikator kann über das Menu System -> Status das Widget System Information der Link [Upgrade] die gewünschte Firmware hochgeladen werden. |
 |
Die entsprechende Datei auswählen und mit OK wird der Upload gestartet |
 |
Es gibt noch eine Sicherheitsabfrage, ob man die Datei wirklich hochladen will. OK für zum hochladen, mit Cancel wird das ganze abgebrochen. |
 |
während des Uploads erfolgt eine Meldung, dass dieser Vorgang nicht unterbrochen werden soll. |
 |
sobald das Image hochgeladen ist, gibt es die Möglichkeit noch ein Backup der Konfiguration zu machen. Es empfiehlt sich, diese Funktion zu nutzen. Nach dem Backup kann der Button Start Upgrade angewählt werden und der Upgrade wird gestartet. Es kann auch vorgängig ein manueller Backup durchgeführt werden. weitere Infos gibt es hier : FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_ein_Backup.2FRestore_ausf.C3.BChren.3F |
 |
Während des Upgrades, wird eine Meldung angezeigt, dass der Prozess am Laufen ist. Nach erfolgreichem Upgrade wird der FortiAuthentikator automatisch neu gestartet. Nach dem Reboot ist der FortiAuthentikator auf der neuen Version wieder Einsatzbereit. |
NOTE Zusätzlich wenn von der Version 2.x ein Upgrade auf 3.x durchgeführt wird muss folgende Information berücksichtigt werden: FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_VMware_basierenden_FortiAuthenticator_2.0_MR2_.282.2.2.29_ein_Upgrade_auf_Version_3.0_durchf.C3.BChren.3F
Vor dem Upgrade ist es wichtig die entsprechenden Release Notes zu lesen und studieren:
Wo finde ich de Release Notes des FortiAuthenticator?
- Datei:FAC-ReleaseNotes-5.1.0.pdf
- Datei:FAC-ReleaseNotes-5.1.1-Temporaer.pdf
- Datei:FAC-ReleaseNotes-5.1.1.pdf
- Datei:FAC-ReleaseNotes-5.1.2.pdf
Release Notes 6.x
Release Notes 6.0.x
- Datei:FAC-ReleaseNotes-6.0.0.pdf
- Datei:FAC-ReleaseNotes-6.0.1.pdf
- Datei:FAC-ReleaseNotes-6.0.2.pdf
- Datei:FAC-ReleaseNotes-6.0.3.pdf
- Datei:FAC-ReleaseNotes-6.0.4.pdf
- Datei:FAC-ReleaseNotes-6.0.5.pdf
- Datei:FAC-ReleaseNotes-6.0.6.pdf
- Datei:FAC-ReleaseNotes-6.0.7.pdf
Release Notes 6.1.x
Release Notes 6.2.x
Release Notes 6.3.x
- Datei:FAC-ReleaseNotes-6.3.0.pdf
- Datei:FAC-ReleaseNotes-6.3.1.pdf
- Datei:FAC-ReleaseNotes-6.3.2.pdf
- Datei:FAC-ReleaseNotes-6.3.3.pdf
Release Notes 6.4.x
- Datei:FAC-ReleaseNotes-6.4.0.pdf
- Datei:FAC-ReleaseNotes-6.4.1.pdf
- Datei:FAC-ReleaseNotes-6.4.2.pdf
- Datei:FAC-ReleaseNotes-6.4.3.pdf
- Datei:FAC-ReleaseNotes-6.4.4.pdf
edit 08.07.2022 - 4tinu
Wie kann ich für einen VMware basierenden FortiAuthenticator 2.0 MR2 (2.2.2) ein Upgrade auf Version 3.0 durchführen?
Nein dies ist so direkt nicht möglich Im Gegensatz zur Hardware (Upgrade möglich ab 2.0 MR2 Patch 2 resp. 2.2.2) Variante des FortiAuthenticators dh. der Grund liegt in der Re-Partitionierung der VMware Variante unter 3.0. Dies bedeutet: Eine FortiAuthenticator VMware Installation tiefer als 2.2.3 (2.0 Patch 3) verfügt nicht über die benötigte Partitionierung für ein Upgrade auf 3.0. Dies wiederum bedeuet Folgendes:
Bevor ein Upgrade auf 3.0 durchgeführt wird, muss auf "jedenfall" ein Upgrade durchgeführt werden auf Relese 2.2.3
Die Version 2.2.3 (2.0 Patch 3) enthält keine neuen Features etc. sondern wurde nur released um der Re-Partitionierung der Version 3.0 Rechnung zu tragen dh. um ein Upgrade auf 3.0 zu ermöglichen! Für weitere Informationen zum Upgrade Prozedere betreffend VMware Variante siehe:
Datei:FortiAuthenticator-3.0-Release-Notes.pdf Datei:FortiAuthenticator-v2.0-MR2-Patch-Release-3-Release-Notes.pdf
Was bedeutet die Popup Meldung beim Einloggen vom FortiAuthentikator?
In den letzten Tagen wird folgende Popup Meldung angezeigt, wenn man sich in den FortiAuthentikator einloggt. Diese Meldung darf auf keinen Umständen ignoriert werden:
Diese Meldung fordert auf, dass man ein Upgrade machen soll.
Dieses Upgrade auf 5.1 ist notwendig, um ein neues Zertifikat für die Apple Push-Dienste zu erhalten. Wenn dieses Zertifikat nicht erneuert wird, wird die Push-Authentifizierung nicht mehr funktionieren, wenn das aktuelle Zertifikat abgelaufen ist.
- FAC 4.3.3 Das Zertifikat wird Ordnungsgemäss aktualisiert
- FAC 5.1.0 Wird mit dem neuen Zertifikat ausgeliefert, aktualisiert sich aber auch selber über das Netzwerkpaket.
Das Upgrade muss bis zum 27.November 2017 durchgeführt werden, damit eine Unterbrechung des Push Benachrichtigungsdienstes vermieden werden kann.
Setup
Was sind die "Maximum Values" eines FortiAuthenticator?
Die Maximum Values eines FortiAuthenticator sind die folgenden:
Hardware
Virtual Machine
Welche Open Ports benützt ein FortiAuthenticator?
Ein FortiAuthenticator benützt für dessen Komunikation zB im Zusammenhang mit Radius TCP Port 1812. Nachfolgendes Dokument zeigt die Open Ports die für Fortinet Produkten wie der FortiAuthenticator benutzt werden:
Datei:FortinetOpenPorts.pdf Datei:Fortigate-Open-Ports-54.pdf
Nachfolgendes Diagramm zeigt die Open Ports unter FortiOS 5.4. Dieses Diagramm stammt aus dem Handbook FortiOS 5.4:
Wie wird ein FortiAuthenticator auf VMware installiert?
Der FortiAuthenticator für VMware wird andhand eines .ovf Files (Deployable Open Virtualization Format) installiert. Für eine Grundinstallation wird das "ovf.zip" File benutzt und nicht das .out File. Das .out" File wird ausschliesslich für Upgrades benutzt. Weitere Informationen und Dokumente betreffend Virtualisierung und Installation findet man auf folgender Seite:
Fortinet:Virtualisierung
Was muss ich betreffend FortiAuthenticator im Zusammenhang mit einer Two-Factor Authentication beachten?
Wenn Two-Factor Authentication eingesetzt wird mit dem FortiAuthenticator, ist die Kompatibilität zu anderen Fortinet Produkten und/oder Fremdprodukten zu berücksichtigen. Der Grund sind die API's die auf Fortinet Produkten resp. Fremdprodukten zur Verfügung stehen müssen! Dies bedeutet wenn ein User für eine Two-Factor Authentication konfiguriert ist, und Username und Passwort absetzt, muss das API für die Two-Factor Authentication auf dem entsprechenden Produkt (sei es Fortinet und/oder Fremdprodukt) existieren sowie korrekt angesprochen werden resp. ausgelöst werden. Ist diese API nicht vorhanden und/oder wird diese nicht korrekt angesprochen kann keine Two-Factor Authentication durchgeführt werden. Nachfolgende Tabelle gibt eine Uebesicht über Fortinet und/oder Fremdprodukten:
Weitere Auskunft über Kompatiblität gibt der "Interoperability Guide". Dazu siehe folgender Artikel:
FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wie kann ich für einen FortiAuthenticator die Grundkonfiguration betreffend Netzwerk durchführen?
Nach der Installation des FortiAuthenticator kann anhand des User "admin" über die Konsole eingeloggt werden. Per Standard ist kein Passwort gesetzt:
FortiAuthenticator login: admin
Password:
Welcome to the FortiAuthenticator!
>
Ein FortiAuthenticator verfügt nicht über das übliche FortiOS wie zB eine FortiGate dh. der Befehlsatz ist minimiert auf das noetigste. Nachfolgender Artikel gibt Auskunft was in diesem Befehlsatz resp. Kommandozeile zur Verfügung steht:
FortiAuthenticator:FAQ#Welche_Kommandozeilen_Basierte_Kommandos_stehen_auf_einem_FortiAuthenticator_zur_Verf.C3.BCgung.3F
Anhand dieser Kommandos kann nur die Grundkonfiguration des Netzwerkes durchgeführt werden:
> set port1-ip 192.168.1.40/24
> set default-gw 192.168.1.1
Nun kann man auf das Mgmt. WebInterface zugreifen:
https://192.168.1.40/
Wie kann ich den Hostnamen eines FortiAuthenticators konfigurieren?
Der Hostnamen für den FortiAuthenticator konfiguriert man unter folgender Position:
|
|
|
|
Im Menu System > Dashboard > Status > System Information > Host Name auf [Change] klicken um den Hostname zu editieren | |
|
|
|
|
|
|
Für diese Position darf nicht der FQDN definiert werden sondern nur der "hostname". Der DNS Domain Name resp. der FQDN wird unter folgender Position konfiguriert:
Wie kann ich den FQDN (Fully Qualified Domain Namen) eines FortiAuthenticators Konfigurieren?
Der DNS Domain Name oder auch FQDN des FortiAuthenticator wird unter folgender Position konfiguriert:
System > Dashboard > Status > System Information > DNS Domain Name
Nach der Konfiguration des FQDN wird der FortiAuthenticator Service neu gestartet! Diese Definition des FQDN wird im Hintergrund für einige Konfigurationen benutzt. Ein Beispiel wo dieser FQDN benutzt wird ist das Self-Service Portal:
Authentication > Self-service Portal > General > Site Name
Im Zusammenhang mit dem FQDN des FortiAuthenticators ist nachfolgenden Position ebenfalls wichtig dh. Soll der FortiAuthenticator zusätzlich mit einem anderen FQDN Namen versehen werden für einen zustätzlich Funktion und/oder Service, muss dieser zusätzliche FQND Name unter folgender Position definiert werden:
System > Administration > [GUI Access / System-Access] > Addtional allowed hosts/domain names
Wie kann ich die Timezone sowie Timeserver (NTP) auf einen FortiAuthenticator konfigurieren?
Der Zeitzone sowie im generellen der Zeit kommt bei einem Radius Server eine wichtige Funktion zu, speziell wenn die Funktion "Accounting" benutzt wird. Dies bedeutet: Radius Server und Radius Client z.Bsp . Die FortiGate muss über die gleichen Zeitinformationen verfügen, respektive Timeserver benutzen werden um sicherzustellen, dass die Zeit auf beiden Devices, das heisst Radius Server und Clients synchron laufen! Die Zeitzone sowie die Definition eines Timeserver kann über folgende Position konfiguriert werden:
 Konfiguration im WebGui FortiOS 4.x/5.x:
|
Konfiguration im WebGui FortiOS 6.x:
|
|
Im Menu System -> Dashboard -> Status -> System Information -> System Time auf [Change] klicken um die Zeiteinstellung zu editieren | |
|
|
|
|
|
|
Wie kann ich die DNS Server auf einem FortiAuthenticator konfigurieren?
Die DNS Server die der FortiAuthenticator benützt, werden folgendermassen konfiguriert:
| Konfiguration im WebGui FortiOS 4.x/5.x:
|
Konfiguration im WebGui FortiOS 6.x:
|
|
Im Menu System > Network > DNS können die DNS Server Einstellungen vorgenommen werden. | |
|
|
|
|
Die im Zusammenhang stehenden DNS Server die benutzt werden, zum Beispiel für Radius Agents/Clients sollten für deren DNS Auflösung über die nötigen Einträge, respektive mindestens über einen "A Record" verfügen! |
Wie wird eine statische Route auf dem FortiAuthenticator konfiguriert?
Statische Routing Einträge, respektive das Routing wird über folgende Position konfiguriert:
| Konfiguration im WebGui FortiOS 4.x/5.x:
|
Konfiguration im WebGui FortiOS 6.x:
|
|
Im Menu System > Network > Static Routing > Create New wird eine neue Route konfiguriert. | |
|
|
|
Wie kann ich für einen FortiAuthenticator den Management Access sowie Service Access Konfigurieren?
Ein FortiAuthenticator ist im Grundsatz ein Radius Server. Ein Radius Server benötigt Grundsätzlich zwei Services:
• Radius Auth UDP/TCP 1812 (Old Radius 1645)
• Radius Accounting UDP/TCP 1813
Zusätzlich zu den Management Access Ports kann der FortiAuthenticator auch mit zusätzlichen Services/Funktionen betrieben werden wie zB als ActiveDirectory/LDAP Server. Diese zusätzlichen Services/Funktionen benötigen zusätzliche Service Ports die über das entsprechende Interface aktiviert oder deaktiviert werden können:
Es ist zu empfehlen sämtliche nicht benötigten Services sowie Management Access zu daktivieren!
Welche Verschlüsselungs Methoden werden durch einen FortiAuthenticator benutzt?
Basierend auf Version 3.3 und höher unterstützt der FortiAuthenticator folgende Verschlüsselung im SSL Bereich:
• Für Management wird per Standard TLSv1 benutzt sowie zusätzlich "Industry Standard Server Side TLS" (Mgmt. Certificate PEAP/TTLS/TLS)
• Für Certificate: 4098bit RSA keys mit SHA-1 / SHA-256 Hash
Wie kann ich auf einem FortiAuthenticator einen eigenen Diffie-Hellmann Parameter Konfigurieren und Wieso?
Für den FortiAuthenticator können eigenen Diffie-Hellman Parameter erstellt werden. Dabei ist Wichtig zu verstehen um was es beim Diffie-Hellman Parameter geht. Im nachfolgenden Beispiel wird dies erklärt anhand einer "Asymmetrisch" "[Public Key Cryptography]" Verchlüsselung. Diese Verschlüsselung basiert im Grundsatz anhand einem "private" Key und einem darauf basierenden "public" Key. Alles beginnt mit dem "privaten" Schlüssel (Private Key). Aus diesem wird der "öffentliche" Schlüssel (Public Key) erzeugt und kann jeder Zeit wiederhergestellt werden. Daten die mit einem "Public-Key" verschlüsselt weren können nur mit dem korrespondierenden "Private-Key" entschlüsselt werden. Die Übermittlung von verschlüsselten Daten beruht darauf, dass die Daten mithilfe des "öffentlichen" Schlüssels (Public Key) des Empfängers "verschlüsselt" werden, so dass nur noch der Empfänger in der Lage ist, den Klartext zu ermitteln. Denn nur er befindet sich im Besitz des passenden "privaten" Schlüssels (Public Key).
In diesem Verfahren gibt es einen Umstand dem Rechnung zu tragen im Zusammenhang mit Diffie-Hellman. Formal besteht ein "Public-Key-Verschlüsselungsverfahren" aus drei Algorithmen:
• Der Schlüsselerzeugungsalgorithmus erzeugt zu einem gegebenen Sicherheitsparameter (2048bit, 4096bit) ein Schlüsselpaar,
das aus einem öffentlichen (Oeffentlicher Keyer "public) und dem dazugehörigen geheimen Schlüssel (Privater Key "private") besteht.
• Der Verschlüsselungsalgorithmus erzeugt aus einem Klartext unter Verwendung des öffentlichen Schlüssels einen Geheimtext (Cyphertext).
• Der Entschlüsselungsalgorithmus berechnet zu einem Geheimtext (Cyphertext) unter Verwendung des geheimen Schlüssels den passenden Klartext.
Das Problem: Bei der Daten-Übertragung mittels SSL/TLS werden mit einem Langzeitschlüssel (pub-priv-key) sogenannte Sitzungsschlüssel für jede Session erzeugt (Session-keys). Hat ein Angreifer Zugriff auf den Langzeitschlüssel so können sämtliche vergangenen Sitzungsschlüssel errechnet werden und somit die gesamte Kommunikation entschlüsselt werden. Dies wird durch Perfect Forward Secrecy (PFS) unterbunden. Ein möglicher Angreifer kann trotz Kenntnis des Langzeitschlüssels keinerlei Rückschlüsse auf die ausgehandelten Sitzungsschlüssel ziehen. Bei TLS wird dies dadurch erreicht, dass der Langzeitschlüssel zu einem Signaturverfahren gehört und nur benutzt wird, um Kurzzeitschlüssel zu signieren. Mit diesen wird jeweils durch einen Diffie-Hellman-Schlüsselaustausch ein Sitzungsschlüssel ausgehandelt. Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen. Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren. In diesem Verfahren werden sogenannte Diffie-Hellmann-Parameter (auch Diffie-Hellmann-Group) verwendet. Eine DH-Group ist eine Liste von langen Primzahlen welche für das PFS-Verfahren verwendet werden. Bis vor kurzem galten diese Listen als sicherheits-unkritisch und wurden aus diesem Grund vom Hersteller "vorberechnet" und ausgeliefert. Somit verwenden tausende Rechner die gleichen Listen. Seit kurzem steht dieses Verfahren unter Kritik und es wird empfohlen eigene DH-Groups/Params zu erzeugen. Siehe auch im Allgemeinen nachfolgenden Link:
https://weakdh.org/sysadmin.html
Diesem Umstand kann abgeholfen werden dh. wir können unsere eigenen "DH" Parameter auf dem FortiAuthenticator erstellen. Nachfolgend ein Beispiel wie ein DH Parameter unter Linux (CentOS) anhand "openssl" erstellt sowie auf den FortiAuthenticator geladen werden kann:
# mkdir /opt/DH-Param
# chmod 700 /opt/DH-Param
# chown root:root /opt/DH-Param
# cd /opt/DH-Param
Nun erzeuge einen "256bit" langen "DH" Parameter:
# openssl genpkey -genparam -algorithm DH -pkeyopt dh_paramgen_prime_len:2048 -out dh2048.pem
# openssl genpkey -genparam -algorithm DH -pkeyopt dh_paramgen_prime_len:4096 -out dh4096.pem
Nach der Erzeugung kann der "DH" Parameter ebenfalls mit folgenden Kommando als "text ausgegeben werden:
# openssl pkeyparam -text -in dh2048.pem
# openssl pkeyparam -text -in dh4096.pem
Wenn diese Files über ein Linux zB CentOS selbst erstellt worden sind können diese über einen TFTP Server zum FortiAuthenticator raufgeladen werden:
# dhparam-load tftp [TFTP Server IPv4 Adresse] [File Name zB dh2048.pem]
Es kann ebenfalls FTP benutzt werden um das "DH" File auf den FortiAuthenticator zu laden:
# dhparam-load ftp [FTP Server IPv4 Adresse] [Filen Name zB dh2048.pem] [FTP User Name] [FTP Passwort]$
Diesen Diffie-Hellmann Parameter kann auch direkt auf dem FortiAuthenticator in der Bit Anzahl 2048 bis 8192 erstellt werden. Dabei ist jedoch zu berücksichtigen, dass dieses Erstellen des "DH" Parameters Resourcen Intensiv ist:
# dhparam-regen [von 2028 bis 8192]
Nachfolgend ein Beispiel für die Erstellung des "DH" Parameter:
# dhparam-regen 2048 2048
The DH paramaters generated will range between 2048 and 2048 bits.
This command may take hours/days to run, consuming a great deal of CPU time.
Do you want to continue? (y/n)y
Generating 2048-bit DH parameter 1 of 4... (This may take a while)
Generating 2048-bit DH parameter 2 of 4... (This may take a while)
Generating 2048-bit DH parameter 3 of 4... (This may take a while)
Generating 2048-bit DH parameter 4 of 4... (This may take a while)
Wie gesagt dies kann einige Zeit in Anspruch nehmen. Möchten man den Standard Zustand des "DH" Parameters auf dem FortiAuthenticators wiederherstellen kann folgendes ausgeführt werden:
# dhparam-default
RSSO (Radius Single-Sign-On)
Wie kann ich für einen FortiAuthenticator ein RSSO (Radius Single-Sing-On) Konfigurieren?
Ab FortiAuthenticator 3.0.1 kann ein Radius Single-Sign-On für eine FortiGate konfiguriert werden. Dabei kann ein vorhandenes Active Directory in den FortiAuthenticator eingebunden und anhand diesem und dem Radius Server ein RSSO basierend auf dem Polling Mode konfiguriert werden. Weitere Informationen siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Kann_ich_f.C3.BCr_eine_FortiGate_.C3.BCber_Radius_mit_LDAP_Anbidung_ein_Single-Sign-On_konfigurieren_.28RSSO.29.3F
Token
Welche Token Art kann ich im Zusammenhang mit einem FortiAuthenticator einsetzen?
Basierend auf FortiAuthentcator Version 3.1 oder höher unterstützt dieser folgende Token Arten:
• Physischer Token: FortiToken 200 OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden Intervall und benützen einen 6 Zeichen Code.
• Physischer Speicher Token: FortiToken 300; Dieser PIN geschützte Token basiert auf einem x.509 Zertifikat
geschützten USB Speicher. Der Speicher unterstützt PKCS#11 Protokolle. Wird hauptsächlich benützt im IPSec/SSL
VPN Bereich um Zertifikat basierende Authentifizierung zu schützen.
• Software Token: FortiToken Mobile OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden Intervall und benützen einen 6 -8 Zeichen Code sowie unterstützen IOS und Android Geräte.
• Ohne Token: Email und SMS "event" basierender Token
Wie Funktionert eine Zeitbasierende TOTP (Open TOTPO Standard) Two-Factore Authentifizierung auf einem FortiAuthenticator?
Wenn der Token wie zB FortiToken 200 benützt wird so benützt dieser den "Open TOTP Standard" definiert in RFC 6238. Nachfolgend eine Uebersicht wie dies genau funktioniert:
In welcher Art und Wo werden für einen FortiAuthenticator die benützen Tooken Seeds gespeichert?
Den Token Seeds kommt eine wichtige Rolle zu. Fortinet Tooken Seeds werden folgendermassen seitens Fortinet Verarbeitet/Gespeichert: Fortinet schützt die Token Seeds auf verschiedene Art und Weise. Die FortiToken zB FortiToken 200 mit deren Informationen resp. Seeds werden Initial in der FortiCare/FortiGuard Datenbank gespeichert. Wenn diese FortiToken 200 über den FortiAuthenticator und/oder FortiGate registriert werden so werden die Seeds aus der FortiCare/FortiGuard Datenbank entfernt. Dies wird durchgeführt um das Risiko zu minimieen, dass diese Seeds zukünftig kompromitiert werden. Im Hintergrund wird jedoch durch die Registrierung anhand der Serial Nummer auf dem Device dh. FortiAuthenticator/FortiGate der FortiToken mit dem Device registriert und somit kann der FortiToken nicht zusätzlich auf einem anderen Device zB FortiGate registriert werden. Möchte man einen FortiToken auf einem neuen Device sei es FortiGate/FortiAuthenticator registrieren, muss dieser "re-provisioned" werden dh. es benötigt ein Tecnical Support Ticket um in der FortiCare/FortiGuard Database diesen FortiToken (Seed) erneut zu speichern. Dazu wird eine Offline Kopie des Token benutzt da durch die Erst-Registrierung der Seed aus der Datenbank von FortiCare/FortiGuard gelöscht wurde. Somit wird ein FortiToken 200 Seed nur bis zur Registrierung in der Datenbank von FortiCare/FortiGuard gespeichert. Ein FortiToken Mobile wird in der Datenbank von FortiCare/FortiGuard resp. dessen Seed solange gespeichert, bis der Seed runtergeladen wurde. Ist dies der Fall, wird ebenfalls dieser Seed aus der Datenbank von FortiCare/FortiGuard gelöscht. Es ist möglich diesen Vorgang der Speicherung des Seed's in der FortiCare/FortiGuard Datenbank zu konfigurieren. Wenn für "Enterprise" Kunden dieser oben beschriebene Weg aus Sicherheitsgründen kein Weg darstellt da der Seed in der Datenbank von FortiCare/FortiGuard gespeichert wird, kann der Kunde folgendes Produkt beziehen:
FTK200CD-X (Anzahl 10, 20, 50 100)
Bei dieser offiziellen SKU von Fortinet handelt es sich um eine FortiToken 200 CD die deren "Seed's" verschlüsselt enhält und somit nicht in der FortiCare/FortiGuard Datenbank gespeichert werden! Es besteht ebenfalls die Möglichkeit bei sehr grossen Umgebungen das "self-provisioning" der Tokens selbst durchzuführen. Dazu benötigt man jedoch das "Provisioning Tool" von Fortinet. Dieses Provisioning Tool ermöglicht es zufällige Seed's selbst zu erstellen. Für ein allfäliges Pricing und minium Volumen muss Fortinet kontaktiert werden.
Wie kann ich FortiToken Mobile im FortiAuthenticator einlesen?
Zwei Mobile Token sind bei der FortiAuthenticator frei zu Verfügung. Weitere Mobile Token können kostenpflichtig hinzugefügt werden.
Informationen über die FortiToken findet man im Kapitel Produkte Informationen im folgenden Abschnitt mit Taste ctrl+Mausklick öffnet sich ein separates Fenster
In diesem Beispiel möchte ich auf meinen FortiAuthentikator im Labor 10 weitere Software Mobile Token hinzufügen. Folgenden SKU habe ich dafür bestellt: FTM-ELIC-10
Nach der Bestellung ist ein Email mit dem Aktivierungscode zugestellt worden. Darin enthalten ist eine kurze Anleitung, wie die Token auf einem Authenticator oder auf einer FortiGate eingelesen und aktiviert werden.
|
Der Aktivation Code ist ein Jahr gültig. Wird der Code nicht innerhalb eines Jahres auf einer FortiGate oder einem FortiAuthenticator aktiviert, entfallen die Token und es muss eine neue Lizenz erworben werden. |
Anhand dieses Aktivieruns Code können auf dem FortiAuthenticator die Tokens folgendermassen aktiviert werden:
| Konfiguration über das WebGui:
|
|
Die Gratistoken findet man unter User Management -> FortiTokens Um weitere Token einzulusen kann auf Create New navigiert werden |
|
|
Wenn es geklappt hat kommt nach ein paar Sekunden eine Notifikation (Die Zeit ist Abhängig von der Anzahl Token die aktiviert werden) Die Token werden in der Liste jetzt mit den Serienummern angezeigt: Diese können jetzt den gewünschten Usern in der Userverwaltung zugewiesen werden. |
add 03.04.2023 - 4Tinu
Wo kann ich eine Policy für FortiTokens (TOTP/HOTP/) auf eine FortiAuthenticator Konfigurieren?
Im Zusammenhang mit FortiTokens wird TOTP benutzt dh. "One-Time-Password" sowie HOTP dh. "HMAC-Based One-Time-Password". HTOP basiert auf TOTP und beide besitzen ein "authentication window" sowie "sync window size". Ab FortiAuthenticator 4.2 können diese Werte für FortiToken Konfiguriert werden unter folgender Position:
Authentication > User Access Policies > Tokens > FortiTokens
Desweiteren kann für ein Token über SMS und/oder SMTP ein entsprechendes Token Timeout Konfiguriert werden. Weitere Informationen siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wo_kann_ich_auf_einem_FortiAuthenticator_das_Token_Timeout_f.C3.BCr_einen_SMS.2FSMTP_Gateway_Konfigurieren.3F
User
Wie kann ich auf einem FortiAuthenticator das Passwort des User "admin" Konfigurieren?
Das Passwort für den User "admin" kann unter folgender Position gesetzt werden:
Authentication > User Management > Local Users > admin
Wenn das Passwort des User "admin" nicht mehr bekannt ist kann anhand der "admin-maintainer" eingeloggt werden dh. Nachdem der FortiAuthenticator neu gestartet wurde und das Login erscheint kann 2 Minuten anhand des User "maintainer" eingeloggt werden:
Login: maintainer
Password: [Serien Nummer des FortiAuthenticator zB "FAC-VM0A13000319"]
Das Passwort des User "admin" kann nicht über CLI gesetzt werden jedoch kann dieses anhand "restore-admin" zurückgesetzt werden:
> restore-admin
Trusted management subnets of administrator "admin" habe been cleared.
No need to restore administrator access to Port 1.
Default administrator account "admin" has been restored:
Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
Please remember to change the password.
Wie kann ich auf einem FortiAuthenticator für den User "admin" den Management Access Konfigurieren?
Der User "admin" kann über ein entsprechend konfiguriertes Interface Zugriff auf das Mgmt. Web Interface oder SSH erlangen. Dieser Access kann über folgende Position konfiguriert werden:
Network > Interfaces > [Wähle das entsprechende Interface zB "port1"]
Auf der CLI steht zusätzlich folgendes Kommando zur Verfügung um den Access auf port1 sowie das Passwort für den User "admin" auf Standard zurücksetzt:
> restore-admin
Trusted management subnets of administrator "admin" habe been cleared.
No need to restore administrator access to Port 1.
Default administrator account "admin" has been restored:
Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
Please remember to change the password.
Wie kann ich auf einem FortiAuthenticator den RESTful API Access Konfigurieren?
Der FortiAuthenticator beinhaltet ein RESTful API dh. über dieses lässt sich der FortiAuthenticator in verschiednen Aspekten direkt ansprechen und Kommandos ausführen. Fortinet stellt für dieses RESTful API für den FortiAuthenticator ein entsprechendes Dokument zur Verfügung das erklärt was zur Verfügung steht und wie das RESTful API anzuwenden ist. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Bis FortiAuthenticator 4.1 war es nicht möglich den Zugriff für dieses RESTful API einzuschränken. Ab FortiAuthenticator 4.2 steht diese Konfiguration nun zur Verfügung über folgenden Menüpunkt:
System > Administration > System-Access > RESTful API access
Wie kann ich auf einem FortiAuthenticator für den User "admin" das Timeout Konfigurieren?
Das Timeout für das Mgmt. Web Interface wird unter folgender Position konfiguriert:
System > Administration > [GUI Access / System-Access] > Idle timeout
Wie kann ich auf einem FortiAuthenticator für den User "admin" den Zugriff für TrustedHosts Konfigurieren?
Wenn sich ein FortiAuthenticator mit seinem Interface in einem DMZ befindet, kann der Zugriff auf das Mgmt. Web Interface zB über HTTPS über eine vorhandene Firewall mit eintsprechender Policy Rule eingeschränkt werden. Befindet sich jedoch der FortiAuthenticator im LAN Segmment kann dies nicht mehr bewerkstelligt werden da der Traffic für HTTPS nicht mehr über die Firewall kontrolliert werden kann. Ab FortiAuthenticator 3.1 ist es möglich für den entsprechenden User zB User "admin" und über dessen Funktion "trusted management subnets" eine ACL (Access Control List) zu konfigurieren:
Authentication > User Management > Local Users > User Role > Restrict admin login from trusted management subnets only
Diese Positon steht nur dann zur Verfügung, wenn der entsprechende User betreffend "Role" als Administrator konfiguriert wurde! Auf der CLI steht zusätzlich folgendes Kommando zur Verfügung um dieses "trusted management subnets" zurück zu setzen. Dabei wird jedoch nicht nur dieses "trusted management subnets" zurückgesetzt sondern ebenfalls der konfigurierte Mgmt. Access auf port1 wie zB HTTPS sowie das Passwort für den User "admin":
> restore-admin
Trusted management subnets of administrator "admin" habe been cleared.
No need to restore administrator access to Port 1.
Default administrator account "admin" has been restored:
Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
Please remember to change the password.
Gibt es auf einem FortiAuthenticator für die User Informationen die Möglichkeit zusätzlich Felder zur Verfügung zu stellen?
Wenn ein User oder Users Lokal erfasst werden kann es Sinnvoll sein, zusätzliche Felder zur Verfügung zu haben um spezfische Informationen für die User zu erfassen wie zB Abteilung, Lokation usw. Auf dem FortiAuthenticator stehen für solche Zwecke drei Felder zur Verfügung die mit einem eigenen Namen versehen werden können. Diese Felder werden nach der Vergabe der Namen/Bezeichnung unter "User Information" angezeigt. Die drei Felder müssen vorgängig definiert werden unter folgender Position:
Wie kann ich auf einem FortiAuthenticator eine Gruppe erstellen und diese für einen Radius Client Konfigurieren?
Nun die Gruppierung innerhalb des FortiAuthenticator kommt eine wichtige Funktion zu dh. wenn ein Radius Client (zB eine FortiGate) erfasst wird so ist die Standard Konfiguration für diesen Radius Client die folgende:
Authentication > RADIUS Service > Clients
Wenn zB auf dem FortiAuthenticator ein Radius Client (FortiGate) konfiguriert wird für Lokale User auf dem FortiAuthenticator und diese Lokalen User im Zusammenhang mit einer Gruppe auf dem FortiAuthenticator benutzt wird so stellt diese Konfiguration keine Probleme dar. Dies bedeutet: Im nachfolgenden Beispiel existieren in der Gruppe "gr_alsochllu-sg0e0_ssl_vpn" Lokale User des FortiAuthenticator und benützten "two-factor authentication" für SSL-VPN auf dem Radius Client resp. auf der FortiGate:
Somit für Realm "local | Local users" wird ein Filter benutzt dh. die Gruppe "gr_alsochllu-sg0e0_ssl_vpn" und sofern möglich eine "two-factor authentication" ausgeführt. Als Realm dh. als "Username input format" muss kein Realm benutzt werden da es sich um den Standard Realm "local | Local users" handelt. Möchte man nun eine weitere Gruppe hinzufügen zB "gr_sg0e0_dmz0_wirless" für eine WPA2-Enterprise Authentifizierung für den gleichen Radius Client (FortiGate) muss für die Unterscheidung ein Realm benutzt werden da ansonsten der FortiAuthenticator die Gruppen und Authentifizierungs Methoden nicht mehr unterscheiden kann. Somit muss an erster Stelle ein Realm konfiguriert werden:
User Management > Realms > Create New
Wird ein Realm benutzt im Zusammenhang mit ActivDirectory muss dieser vorgängig unter folgender Position erfasst werden:
Authentication > Remote Auth. Servers > LDAP > Create New
Nachträglich steht dieser neue "Remote Auth Servers" dh. LDAP unter Realm für die Position " User source" zur Verfügung und somit wird der REALM mit dem "Remote Auth Server" LDAP Verknüpft. Das Gleiche wird mit der Gruppe durchgeführt dh. wurde vorgängig ein "Remote Auth Server" zB LDAP konfiguriert kann dieser mit der entsprechenden Gruppe Verknüpft werden:
Authentication > User Groups > Create New
Danach kann der neue Realm der mit dem "Remote Auth Servers" LDAP Verknüpft wurde innerhalb der Radius Client (FortiGate) Konfiguration benutzt werden um diesen mit der entsprechenden Gruppe zu Verknüpfen:
Somit können verschiedenen Authentifizierungs Methoden anhand verschiedener Gruppen für Lokale User oder Remote Auth Servers resp. LDAP anhand des Realms für den gleichen Radius Client (FortiGate) unterschieden werden. Wie schon erwähnt muss der User der ein Login durchführt bei dem Standard Realm "local | Local users" keine Angaben des Realms durchführen. Für alle anderen Realms muss der User beim Login den entsprechenden Realm mitgeben anhand der Konfiguration innerhalb des Radius Client der Position "Username input format".
Wie kann ich auf einem FortiAuthenticator für die User eine Account Policy Konfigurieren?
Auf einem FortiAuthenticator kann eine Passwort Policy aktiviert/definiert werden unter folgender Position:
Authentication > User Account Policies > Passwords
Was ist auf einem FortiAuthenticator zu beachten wenn ein "locked" User durch den User "admin" auf "unlocked" Konfiguriert wird?
Wenn in der Account Policy im FortiAuthenticator "enable password expiry" gesetzt wird so wird ein User auf "locked" gesetzt sofern er sein Password nach "password expiry" nicht neu setzt. Obwohl ein Administrator im FortiAuthenticator diesen User "unlocked" wird der User nach 24 Stunden wiederum auf "locked" gesetzt. Der Grund dafür ist der Folgende:
Da der User innerhalb dieser 24 Stunden sein Passwort nicht neu setzt greift wieder die Option password expiry"
Somit muss ein User nach einem "unlock" das Passwort innerhalb 24 neu setzen damit der nicht wieder auf "lock" gesetzt wird.
Wie kann ich auf einem FortiAuthenticator für die User eine Lockout Policy Konfigurieren?
Lockout Policy für die User kann über folgende Position definiert werden:
Wie kann ich auf einem FortiAuthenticator für User eine 802.x Authentication Konfigurieren?
Eine 802.x Authentication ist basierend auf der MAC Adresse dh. zur regulären Authentifizierung wird die MAC Adresse des Client zur Authentifizierung hinzugefügt. Um eine solche Konfiguration auf dem FortiAuthenticator durchzuführen führe folgendes durch:
1. Als erstes erfasse für die Authentifizierund den entsprechenden Radius Client:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
2. Definiere im Radius Client, dass für diesen Radius Client eine MAC basierende Authentifizierung gilt:
Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Radius Client] > [Aktiviere "Allow MAC-based authentication"]
Unter dieser Position kann die "Mac-based authentication" anhand "Apply Group Attributes" mit einer entsprechenden Gruppe Verknüpft werden.
3. Erfasse für die 802.x Authentifizierung die entsprechenden MAC Adresse/n:
Authentication > User Management > MAC Auth Bypass > Create New
Nun kann die Konfigurtion anhand eines Users der für den entsprechenden Radius Client (Gruppe und/oder Local Users) freigeschaltet ist getestet werden!
Wie kann ich auf einem FortiAuthenticator für "expired" User Automatisch einen "purge" Konfigurieren?
Ab Version 3.0.1 wird die Funktion eines "Automatically purge" zur Verfügung gestellt unter folgender Menüposition:
Authentication > General > Other Settings > Automatically purge disabled user accounts
Somit kann unter dieser Position anhand der Frequency (Daily, Weekly oder Monthly) sowie Time (Zeit der Ausführung) angegeben werden, wann "Account expired" User zB stammend von der Self-Registration gelöscht werden sollen. Wenn die User manuell anhand "Purge Disabled" gelöscht werden sollen, kann dies unter folgender Position durchgeführt werden:
Authentication > User Management > Local Users
Wie kann ich auf einem FortiAuthenticator einen Pre-Authentication Disclaimer Konfigurieren?
Ab FortiAuthenticator 4.2 steht ein Pre-Authentication Disclaimer für HTTP/HTTPS sowie CLI und SSH zur Verfügung. Dieser Kann über folgenden Menüpositon aktiviert werden:
System > Administration > System-Access > Pre-Authentication
Für diese Funktion wird eine Replacement Messages Seite benutzt die unter folgender Position zur Verfügung steht und modifiziert werden kann:
Authentication > Self-Service Portal > Replacement Messages > Authentication
Wird die Funktion des Pre-Authentication Disclaimer aktiviert so erscheint zB beim Login über HTTP/HTTPS dieser Pre-Authentication Disclaimer der akzeptiert werden muss, damit ein Login durchgeführt werden kann:
Wie kann ich auf einem FortiAuthenticator verhindern, dass ein User Mehrmals ein Login ausführt?
Dies kann über den FortiAuthenticator nicht verhindert resp. konfiguriert werden. Der Grund liegt darin, dass der FortiAuthenticator zwar das Login des Users überprüft aber das Logout wird dem FortiAuthenticator nicht von zB einer FortiGate zurückgemeldet. Also kann der FortiAuthenticator nicht feststellen ob der User ausgeloggt hat oder nicht resp. ob es sich um ein "multiple user login" handelt. Um dies zu verhindern muss dies auf dem Device auf dem der User das Login vollzieht konfiguriert werden. Wie dies auf einer FortiGate zu konfigurieren ist siehe nachfolgenden Artikel:
FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_jeden_User_.28inkl._.22admin.22.29_und.2Foder_User_in_Gruppen_ein_.22multiple_login.22_verhindern.3F
Wie kann ich auf einem FortiAuthenticator bei einem Remote Radius User der Benutzername case sensitive aktivieren/deaktivieren?
Ab der Version 4.2.1 kann für die Remote Radius User der Benutzername case sensitive ein oder ausgeschaltet werden:
Authentication > Remote Auth. Servers > General > Remote Radius > [Aktiviere oder Deaktiviere "Remote RADIUS usernames are case sensitive]
Self-Registration
Wie sieht ein Grundsetup aus auf einem FortiAuthenticator für die Self-Registration Funktion?
Im Gegensatz zum "Wireless Guest Access Provisioning" existieren für die "Wireless Self Registration" Funktion vers. Vorraussetzungen die da wären:
FortiGate mit FortiOS 5 Patch 2 oder höher
FortiAuthenticator mit FortiOS 3 oder höher
Wenn der FortiAuthenticator zB basierend auf VMWare installiert ist kann über die Kommandozeile ein entsprechendes Interface für den Zugriff konfiguriert werden:
FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_die_Grundkonfiguration_betreffend_Netzwerk_durchf.C3.BChren.3F
Nun kann man auf das Mgmt. WebInterface zugreifen:
https://192.168.1.40/
Danach führe folgendes Konfiguration aus:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_das_Passwort_des_User_.22admin.22_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_den_User_.22admin.22_den_Management_Access_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_den_User_.22admin.22_das_Timeout_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_den_Hostnamen_eines_FortiAuthenticators_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_den_FQDN_.28Fully_Qualified_Domain_Namen.29_eines_FortiAuthenticators_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_die_Timezone_sowie_Timeserver_.28NTP.29_f.C3.BCr_einen_FortiAuthenticator_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_die_Domain_Name_Server_.28DNS.29_f.C3.BCr_einen_FortiAuthenticator_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_das_Routing_Konfigurieren.3F FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_den_Management_Access_sowie_Service_Access_Konfigurieren.3F
Unter "Services" sollten nur die Services aktiviert werden die benützt werden für die Authentifizierung. Dies bedeutet: Wenn nur die "Self Registration" Funktion genutzt wird so deaktiviere alle Services bis auf "Radius" da die Funktion "Radius" basierend ist! Wenn der FortiAuthenticator durch eine Firewall geschützt wird zB in einem DMZ muss darauf geachtet werden, dass die entsprechenden Services für die die Authentifizierung sowie Mgmt. auf der Firewall zB FortiGate erlaubt werden. Die vers. Ports wären:
FFSO TCP 8000
LDAP TCP 389 (LDAPS 636)
Radius TCP 1812 (UDP)
Radius Accounting TCP 1813 (UDP)
Mgmt. HTTP TCP 80
Mgmt. HTTPS TCP 443
Mgmt. SSH TCP 22
Mgmt. Telnet TCP 21
Mgmt. Ping ICMP
Weitere Informationen betreffend "Open Ports" im Zusammenhang mit Fortinet Produkten wie der FortiAuthenticator siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Welche_Open_Ports_ben.C3.BCtzt_ein_FortiAuthenticator.3F
Im "Self Registration" Portal werden Services benötigt die die nötigen Informationen übermitteln wie zB E-Mail, SMS usw. Einer dieser Service's ist die Uebermittlung der Informationen über EMail! Dazu wird ein SMTP Server benötigt. Die Konfiguration des SMTP Servers wird unter folgendern Position konfiguriert:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_SMTP_Server_Konfigurieren_f.C3.BCr_Versendung_von_Email_Nachrichten.3F
Desweiteren kann die Information über SMS versendet werden. Unter folgender Position kann ein SMS Service konfiguriert werden dh. per Standard steht der "FortiGuard Messaging Service" zur Verfügung, der benutzt werden kann sofern man über den "FortiGuard Service" für den Authenticator verfügt. Wenn selber ein SMS Gateway/Provider definiert werden möchte was zu empfehlen ist siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_SMS_Gateway_Konfigurieren_f.C3.BCr_die_Versendung_von_SMS_Nachrichten.3F
Als nächstes muss auf dem FortiAuthenticator der FortiGate Device über diesen die "Self Registration" Funktion ausgeführt wird als "Radius Client" erfasst werden. Ebenso muss auf der FortiGate auf der die "Self Registration" Funktion benutzt wird der "Radius Server" erfasst werden:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
Als nächsten Schritt legen wir eine Gruppe an die alle User beinhaltet die sich auf dem Self-Registration Portal registrieren werden dh. diese Self-Registration User werden durch die Funktion automatisch in diese Gruppe geschrieben. Weitere Informationen zur Erstellung einer Gruppe und was dabei zu beachten ist siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F
Als nächsten Schritt definieren wir die Grundkonfiguration des "Self-Registration" Funktion dh. unter folgender Position:
Innerhalb dieser Konfiguration kann die Standard Sprache des Portals definiert werden! Es stehen vers. Sprachen zur Verfügung wie Deutsch, Französisch, Englisch usw. Unter der Position "Site Name" kann der FQDN des Portals definiert werden. Dies ist nur dann zu definieren wenn die nachfolgende Konfiguration nicht durchgeführt wurde:
FortiAuthenticator:FAQ#Wie_kann_ich_den_FQDN_.28Fully_Qualified_Domain_Namen.29_eines_FortiAuthenticators_Konfigurieren.3F
Unter der Position "E-mail signature" kann eine Signature definiert werden die jeder Nachricht angehängt wird die über das Self-Registration Portal ausgelöst wird! Nun defnieren wir die Funktion des Self-Registration Portals unter folgender Position:
Require administrator approval
Wenn die Position "Require administrator approval" aktiviert wird, erhält der zustaendige Administrator
per E-Mail die noetigen Informationen für die Registration des Users und muss bevor diese Aktiv werden
im FortiAuthenticator diese durch eine Link der auf den FortiAuthenticator zeigt Bestätigen. Die EMail
Adressen können frei gewählt werden oder über den entsprechenden Account des Administrators:
Use mobile number as username"
Aktiviert man diese Position so wird als Username die Mobile Nummer definiert sowie das Passwort wird
dem User an die defninierte Mobile Nummer gesendet!
Place registered users into a group
Diese Position sollte umbedingt aktiviert werden sowie die entsprechende Gruppe definiert werden. Weitere
Informationen dazu siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F
Password creation
Wenn die Position "Password creation" auf "Randomly generated" gesetzt wird so wird ein Passwort vom System
generiert. Ab Version 3.0.0 kann dieses Passwort über die "User Account Policies" beeinflusst resp. definiert
werden. Weitere Informationen siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_eine_Account_Policy_Konfigurieren.3F
Deszweiteren ist zu berücksichtigen, dass wenn die Funktion "Randomly generated" benutzt wird, innerhalb des
Self-Registration Portals die Felder für die Angabe des "Password" sowie "Confirm Password" entfernt werden.
Dies kann über die "Replacement Message Groups" durchgeführt werden:
Send account information via
Diese Position definiert "wie" die Account Informationen dem User der sich auf dem Self-Registration Portal registriert
zugestellt werden. Aktiviert man die Position "Display on browser page" kann die entsprechende Seite unter den "Replacement
Message" modifiziert werden:
Required Field Configuration
Im Self-Registration Portal stehen für die Registration verschiedene Felder zur Verfügung wie zB First name, Last name usw.
Unter dieser Position wird definiert ob diese Felder "Required" sind oder nicht. Ebenfalls stehen drei "Custom field"
zur Verfügung in denen eigenen User Informationen definiert werden können. Weitere Informationen wie diese Felder erstellt
werden etc. findet man unter folgendem Artikel:
FortiAuthenticator:FAQ#Gibt_es_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_Informationen_die_M.C3.B6glichkeit_zus.C3.A4tzlich_Felder_zur_Verf.C3.BCgung_zu_stellen.3F
Die Konfiguration ist nun abgeschlossen auf dem FortiAuthenticator. Dies bedeutet: Das Verhalten des Self-Registration Portal ist definiert sowie eine Gruppe die zum entsprechenden Radius Client (FortiGate) hinzugefügt wurde. Die Verbindung zwischen Radius Client (FortiGate) und Radius Server (FortiAuthenticator) wurde getestet und steht. Als letzter Test kann nun das Self-Registration Portal getestet werden dh. führe folgendes aus:
https://192.168.1.40 NOTE Wenn man nun auf "Register" klickt, wird die "Self Registration" Seite angezeigt und kann getestet werden. Beachte bei diesem Test, dass keine Admin Session aktiv ist da ansonsten das Login nicht angezeigt wird dh. logge dich also vorhergehend aus dem FortiAuthenticator aus!
In diesem Beispiel wurde das Passwort auf "Randomly generated" gesetzt sowie die Passwort Felder unter "Replacement Message Groups" für die "Registration Page" auskommentiert ( <!-- --> ). Die Passwort Policy wurde ebenfalls manipuliert indem folgendes definiert wurde:
Da wir die Position "Display on browser page" gewählt haben werden nun die Login Daten auf der Seite angezeigt! Wenn diese Variante gewählt wird, sollte ein Link auf diese Seite eingebaut werden damit der User die Credentials eingeben kann. Damit er dies durchführen kann klickt er auf "Click here to proceed,". Durch diese Implementierung wird eine Seite aufgerufen (zB www.google.ch) und dadurch Erzwungen das die "Login Page" angezeigt wird auf der der User seine Credentials eingeben kann: --------------- HTML --------------- <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN"> <html> <p> Click <a href="http://www.mydomain.ch"> here </a> to proceed, </p> </html> --------------- HTML ---------------
Der User der sich selber über die "Self Registration" registriert hat ist auf dem FortiAuthenticator unter folgender Position sichtbar:
Die User werden "autom" deaktiviert sobald "Account expires after" unter der folgende Position eintritt und somit zählen diese User als nicht mehr "aktive" User!:
Authentication > Self-registration > Account expires after
Soll die Expiration manipuliert werden für einen einzelnen User kann dies innerhalb des User unter "Enable account expiration > Edit" durchgeführt werden! Die User die die Expiration erreichen werden per Standard nicht automatisch gelöscht sondern können mit der Funktion "Automatically purge expired accounts" Automatisch oder über die Local User Manuell gelöscht werden. Weitere Informationen zur Automatischen/Manuellen Löschung abgelaufener User siehe Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_.22expired.22_User_Automatisch_einen_.22purge.22_Konfigurieren.3F
Nun kann die Implementation auf der FortiGate (Radius Client) durchgführt werden dh. Implementiere die nötige SSID sowie FortiAP. Weitere Informationen dazu siehe nachfolgenden Artikel:
FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.4_in_Betrieb_und_konfiguriere_ich_diesen.3F
Beim erfassen der SSID muss diese betreffend Authentication auf "Open" gesetzt werden. Der Grund dafür ist, dass dem User "ohne" Authentifizierung eine IP zugewiesen werden muss damit er zum "Self Registration" Portal gelangt! Um auf der FortiGate die entsprechende Konfiguration zu vervollständigen dh. um eine Policy zu implementieren für "Identity Based Poliy" müssen wir eine Gruppe erfassen und dieser den erfassten "Radius Server" hinzufügen:
User & Device > User > User Group > Create New
Das "Captive Portal" das benutzt wird für die Self-Registration Funktion sollte ein Link enthalten der durch die User benutzt werden kann um zum Self-Registration Portal des FortiAuthenticators zu gelangen. Somit muss über eine "Replacemente Message Group" das Captive Portal modifiziert werden. Erstelle auf dem FortiGate Device über "Replacement Message Groups" dieses Captive Portal:
Config > Replace Message Groups > Create New > [Name der Replacement Message Group zB "captive-portal-only4dmz"
--------------- HTML ---------------
<p style="text-align:center">
If you do not have an account on this system, please register
<a href="https://selfreg.also-solutions.local.intra/auth/register/">
here
</a>
</p>
--------------- HTML ---------------
Weitere Informationen zu den "Replacement Message Groups" findet man unter nachfolgenden Link:
FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F
Wenn die User über einen FQDN das Self-Registration Portal erreichen sollen oder im Captive Portal der FQDN des Self-Registration Portal benutzt wird muss dieser FQDN Name über einen entsprechenden DNS Eintrag verfügen sowie in der SSID in unserem Beispiel "only4dmz" muss den User einen entsprechenden DNS Server zur Verfügung gestellt werden der diesen FQND des Self-Registration Portal auflösen kann. Ebenfalls muss eine Firewall Policy Rule erstellt werden, der diesen Traffic für DNS ohne eine entsprechende Authentication für "only4dmz" erlaubt:
In unsere Beispiel wurde den Usern für die SSID "only4dmz" der DNS Server "198.18.0.1" zur Verfügung gestellt. Nun muss nach dieser DNS Firewall Policy Rule für das Self-Registration Portal eine Firewall Policy Rule konfiguriert werden, dies es erlaubt ohne Authentifizierung zum Self-Registration Portal resp. zum FortiAuthenticator zu gelangen:
Wenn der User nun auf dem FortiAuthenticator die Self-Registration ausführt wurde in der Bestätigung über Browser ein Link zur Verfügung gestellt die irgendeine Seite aufruft zB www.google.ch. Dadurch wird nun die nächste Firewall Policy Rule aufgerufen die eine Authentifizierung auslöst über das Captive Portal das wir über Replacement Message Groups erstellt haben. Dieses kann nicht über Web Mgmt. Interface konfiguriert werden dh. dieses muss über CLI für die entsprechenden nachfolgende Firewall Policy Rule konfiguriert werden:
# config firewall policy
# edit [Policy ID der entsprechenden Firewall Policy die erstellt wurde]
# set replacement-override-group [Name des entsprechenden Captive Portal zB "captive-portal-only4dmz"]
# end
Nun können die ersten Tests durchgeführt werden um die Funktion des Self-Registration Vorgangs zu überprüfen!
Wie kann ich auf einem FortiAuthenticator die HTML Seiten für Self-Registration Funktion Konfigurieren?
Sämtliche HTML Seiten sei es für SMS, Browser und/oder EMail lassen sich über die "Replacement Message" Funktion modifizieren und abändern. Dazu wähle folgende Menüposition:
Authentication > Self-service Portal > Replacement Message Groups
Wie kann ich auf einem FortiAuthenticator für Self-Registration die Felder für das Registrations Portal Konfigurieren?
Die Felder auf der "Self-Registration" Seite lassen sich vollumfänglich ändern dh. auf der einen Seite laesst sich bestimmen welche Felder als "Required" definiert werden und auf der anderen Seite lässt sich die HTML Seite ändern. Dies bedeutet wiederum, Felder die nicht "Required" sind können über die HTML Seite so modifiziert/gelöscht werden damit diese nicht angezeigt werden. Ebenso können 3 zusätzlich Felder für "User Informationen" konfiguriert werden:
Required Field Configuration
Authentication > Self-service Portal > Self-registration > Required Field Configuration
Replacement Message
Authentication > Self-service Portal > Replacement Message
Custome Field
FortiAuthenticator:FAQ#Gibt_es_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_Informationen_die_M.C3.B6glichkeit_zus.C3.A4tzlich_Felder_zur_Verf.C3.BCgung_zu_stellen.3F
Wie kann ich auf einem FortiAuthenticator die Gültigkeit (Zeitdauer) für einen Token Konfigurieren?
Wenn im FortiAuthenticator einen Token aktiviert wird, ist dieser für eine bestimmte Zeit für "ein" Login gültig. Diese Zeit zwischen Token Aktivierung/Deaktivirung kann in der "Lockout Policy" definiert werden. Weitere Informationen siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_eine_Lockout_Policy_Konfigurieren.3F
Wie kann ich auf einem FortiAuthenticator für ein ActiveDirectory/LDAP die Mobile Nummer der User auslesen?
Dies ist nur möglich über die Funktion "Remote Users" dh. die User Informationen aus dem ActiveDirectory resp. LDAP müssen über die FortiAuthenticator Funktion Importiert werden. Danach steht die Mobile Nummer der User sofern diese korrekt im ActiveDirectory resp. LDAP erfasst wurden auf dem FortiAuthenticator korrekt zur Verfügung. Diese Informationen sind statischer Natur dh. wenn Informationen im ActiveDirectory resp. LDAP geändert werden so werden diese nicht automatisch auf dem FortiAuthenticator aktualisiert. Diese können manuell aktualisiert werden oder Automatisiert über die Menüposition:
Authentication > User Management > Remote User Sync Rules
Weitere Informationen dazu wie ActiveDirectory User resp. LDAP anhand eines Token für Authentication konfiguriert werden siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_User_aus_einem_ActiveDirectory.2FLDAP_eine_Tocken_Authentication_Konfigurieren.3F
Wie kann ich auf einem FortiAuthenticator Self-Registration für ein Interface basierendes Captive Portal auf einer FortiGate Konfigurien?
Das nachfolgend Beispiel zeigt einen Anwendungszweck der genutzt werden kann für ein "Interface" basierendes "Captive Portal" resp. für eine "Self-Registration" Funktion für FortiAccess Points. Die Basis dieses Beispiel ist das Grundsetup des FortiAuthenticators betreffend "Self-Registration" Funktion das nachträglich wie nachfolgend beschrieben abgeändert wird. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F
Für die Konfiguration basierend auf eine "Interface" basierenden "Captive Portal" führe folgendes aus:
Schritt 1:
Verbinde die FortiAccess Points in ein Segment zB DMZ Interface sowie aktiviere auf diesem Interface einen DHCP Server für die
FortiAccess Points sowie aktiviere die CAPWAP Funktion auf dem DMZ Interface.
Schritt 2:
Konfiguriere auf der FortiGate eine SSID basierend auf der Authentifizierungs Methode "open" zB "only4dmz" sowie füge diese einem
entsprechenden FortiAccess Point Profile hinzu. Füge dieses FortiAccess Point Profile das unsere SSID "only4dmz" enthält mit der
Authentifizierungs Methode "opne" dem entsprechende FortiAccess Point als Profile hinzu.
Schritt 3:
Aktiviere auf dem DMZ Interface die Funktion "Captive Portal" unter "Security Mode". Als Gruppe für die Authentifizierung definiere
die "Self-Registration" Gruppe. Diese Gruppe enthält den FortiAuthenticator als Radius Server dh. der FortiAuthenticator wurde auf
der FortiGate als Radius Server konfiguriert und dieser Gruppe hinzugefügt. Als "Authentication Portal" definiere "external" sowie
definiere als URL den Link zum FortiAuthenticator Self-Registration Portal:
https://[IP or FQDN of FAC]/auth/register/
NOTE Beachte im Zusammenhang mit IP und/oder FQDN Zertifikats basierende Probleme. Wenn ein User einen HTTP basierende URL
aufruft und diese Anfrage über das "Captive Portal" zur "external" URL des FortiAuthenticator weitergeleitet werden soll
muss global diese Funktion aktiviert werden. Diese "globale" Konfiguration kann auf Protokoll Ebene sowie Port Ebene über
folgende Position konfiguriert werden:
Config > User & Device > Authentication > Settings
Zusätzlich, damit der Traffic zur definierten "external" URL erlaubt wird "ohne" Authentifizierung muss diese zu "Exempt List"
hinzugefügt werden damit keine Authentifizierung bei der "external" definiert URL ausgelöst wird. Diese "Exempt List" kann FQDN
und/oder IP basierend sein und kann folgendermassen definiert werden basierend auf einem Objekt:
# config firewall address
# edit [FortiAuthenticator Name zB "fac.local.intra"]
# set address [IP Adresse des FAC]
# end
# config user security-exempt-list
# edit [Name der Exempt liste zB "DMZ-exempt-list"]
# config rule
# edit 1
# set srcaddr "[Objekt des FAC zB "fac.local.intra"]"
# next
# end
# next
# end
Schritt 4:
Um den Traffic zum FAC in der Firewall Policy Rule zu erlauben resp. damit die "Exempt List" greift, muss in der entsprechenden
Firewall Policy Rule den Verweis zur "Exempt List" aktiviert werden.
# config firewall policy
# edit [Wähle eine entsprechende Policy ID]
# set srcintf [Wähle das Interface auf dem das "Captive Portal" aktiviert wurde dh. zB "DMZ"
# set srcaddr [Definiert den IP Range für die SSID "open" resp. den DHCP Server IP Range]
# set dstintf [Definiere das Interface hinter dem sich der FAC befindet]
# set dstaddr [Definiere als Destination den FAC zB als Objekt "fac.local.intra"]
# set action accept
# set schedule "always"
# set service "HTTP" "HTTPS"
# set captive-portal-exempt enable
# end
NOTE "Nach" dieser Firewall Policy Rule muss der ordentliche Traffic der SSID "only4dmz" definiert werden dh.
damit den Usern basierend auf dem IP Range der SSID "only4dmz" erlaubt wird zB auf das Internet zu zugreifen.
Desweiteren muss berücksichtigt werden, das Event. je nach Situation muss die "Exempt Liste" erweitert werden
um den Zugriff auf den FAC per FQDN sowie im Allgemeinen zu URL's zu ermöglichen dh. damit dies durchgführt
werden kann, muss der Zugriff ohne Authentifizierung auf die entsprechenden DNS Server erlaubt werden!
Schritt 5:
Wenn nun der User sich mit der SSID "only4dmz" verbindet, wird diesem - ohne Authentifizierung - eine IP aus dem
Bereich des DHCP Servers der SSID zugewiesen. Wenn der User nach diesem Vorgang eine URL aufruft zB www.google.com
wird diese Adresse im ersten Schritt über den DNS Server Aufgelöst (muss ohne Authentifizierung erlaubt werden).
Danach versucht der Client die URL resp. die IP zu erreichen. Diese Anfrage wird jedoch nicht erlaubt, wenn der
Traffic auf dem DMZ Interface mit aktivierten "Captive Portal" auftrifft. Da wir auf dem Interface für das "Captive
Portal" ein "external Captive Portal" definiert haben, mit dessen "external" URL, wird diese Anfrage zu diesem "Captive
Portal" redirected. Dieser "redirect" zum FortiAuthenticator "Self-Registration" Portal wird erlaubt da wir für
diesen Traffic eine "Exempt List" definiert haben. Bei diesem Vorgang wird der URL des Users folgende Informationen
hinzugefügt, die später benutzt werden können um die Authentifizierung "vom" FortiAuthenticator zur FortiGate
auszuführen:
magic number
username
Password
Der User für die SSID "only4dmz" kann sich nun nach dem "redirect" auf dem "Self-Registration" Portal des
FortiAuthenticator Registrieren mit dessen First name, Last name sowie Mobile number. Für diese Defintion auf dem
FortiAuthenticator ist folgendes betreffend Konfiguration zu berücksichtigen:
--> Registriere die FortiGate mit deren IP als "Radius Client" auf dem FortiAuthenticator und konfiguriere innerhalb
der "Radius Client" Konfiguration folgendes:
"Apply two-factor authentication if available (authenticate any user)"
Innerhalb der "Radius Client" Konfiguration definiere unter folgender Position eine entsprechende Gruppe die unser
"Self-Registration" Group darstellt:
"Realm > Groups"
Diese Gruppe kann innerhalb des FortiAuthenticator unter folgender Position erstellt werden:
"Authentication > User Managment > User Groups"
--> Für das "Self-Registration" Portal konfiguriere auf dem FortiAuthenticator unter nachfolgender Position Folgendes:
"Authentication > Self-Service Portal > Self-Registration"
Active the Position: "Use mobile number as username"
Place registered users into a group: "[Define the Self-Reg group which was also defined under the Radius Client]"
Password creation: "Randomly generated"
Send account information via: "Display on browser page"
SMS gateway: "[Define the SMS Gateway which was defined within FAC for HTTP Get/Post]
Ebenfalls innerhalb dieser Konfiguration definiere für "Required Field Configuration" folgende Felder:
First name
Last name
Mobile number
NOTE Für diese Konfiguration resp. für dessen Abbildung wird im Hintergrund eine "replacement message" benutzt.
da wir für die "Required Field Configuration" nicht alle Felder benutzen müssen/sollten die übrigen entfernt
werden. Dies kann in der entsprechenden "replacement message" durchgführt werden. Diese findet man unter
folgender Position:
"Authentication > Self-Service Portal > Replacement Message > User Registration Receipt"
Schritt 6:
Der User kann nun auf dem FortiAuthenticator die Self-Registrierung ausführen mit den zur Verfügung stehenden Feldern
die definiert wurden (First name, Last name, Mobile number). Das Ziel das nun zu erreichen wäre ist das Folgende: Wenn
der User nach Eingabe der "Required Field Configuration" im "Self-Registration" Portal auf "submit" klickt wird ein
entsprechender "token" ausgelöst und auf die definierte "Mobile number" im "Self-Registration" Portal gesendet. Dieser
"token" muss der User auf der "verification" Seite direkt eingeben da dies über den Konfigurationspunkt "Display on
browser page" sowie "Use mobile number as username" ausgelöst wird! Sobald dies durchgeführt wurde werden die
Informationen anhand einer modifizierten "replacement message" Seite für "Display on browser page" direkt and die
FortiGate auf den Authentication Port 1000 gesendet und somit ein direktes Login ermöglicht. Modifziere die "replacement
message" "Display on browser page" unter folgender Position folgendermassen:
"Authentication > Self-Service Portal > Replacement Message"
Suche die Position "User Registration Receipt" und ersetze den Inhalt folgendermassen:
--------------- User Registration Receipt ---------------
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>User Registration Receipt</title>
<style type="text/css">
body {
font-family: verdana,arial,helvetica,sans-serif;
max-width: 600px;
}
p, table, ul {
font-size: 12px;
}
table {
border: 1px solid lightBlue;
margin: auto;
padding: 5px;
width: 500px;
}
table td.attr-name {
font-weight: bold;
text-align: right;
width: 30%;
}
table td.attr-val {
text-align: left;
}
</style>
<script>
// Function to retreive url query parameters.
function getParameterByName(name) {
name = name.replace(/[\[]/, "\\[").replace(/[\]]/, "\\]");
var regex = new RegExp("[\\?&]" + name + "=([^&#]*)"),
results = regex.exec(location.search);
return results === null ? "" : decodeURIComponent(results[1].replace(/\+/g, " "));
}
// Prefills hidden form with auth magic.
window.onload = function() {
document.forms['login'].elements['magic'].value = getParameterByName('magic');
}
</script>
</head>
<body>
<h2>User Registration Receipt</h2>
<p>Your account has been created and is now ready to use!</p>
<table id="user-info">
<tr>
<td class="attr-name">Username:</td>
<td class="attr-val">{{:username}}</td>
</tr>
<tr>
<td class="attr-name">Account Expiry:</td>
<td class="attr-val">{{:expiry}}</td>
</tr>
</table>
<form name="login" method=POST action="http://[IP FortiGate]:1000/fgtauth">
<input type="hidden" name="magic" value="" />
<input type="hidden" name="username" value="{{:username}}"/>
<input type="hidden" name="password" value="{{:password}}"/>
<input type="submit" value="Login" />
</form>
</body>
</html>
--------------- User Registration Receipt ---------------
NOTE Ersetze die Position "http://[IP FortiGate]:1000/fgtauth" entsprechend mit der IP des DMZ Interface's!
Schritt 7:
Nun kann die Implementation getestet werden:
--> Verbinde dich mit der SSID "only4dmz" und rufe über den Browser eine URL auf zB www.google.com
--> Es wird ein "redirect" ausgeführt auf das "Self-Registration" Portal des FortiAuthenticators
--> Gebe die entsprechenden Informationen ein dh. First name, Last name sowie Mobile number
--> Bestätige die eingegebenen Informationen anhand des "submit" Buttons
--> Auf die definierte Mobile number wir ein "token" ausgelöst
--> Gebe auf der "verification" Seite die nach der Bestätigung durch "submit" erscheint den "token" ein
--> Bestätige die "verification" Seite und es erscheint die "User Registration Receipt" Seite
--> Bestätige die "User Registration Receipt" Seite anhand des "Login" Buttons
--> Im Hintergrund wird Username (=Mobile number) sowie Password (=Random) im Hintergrund zur FortiGate gesendet (http://[IP FortiGate]:1000/fgtauth)
--> Authentifizierung wurde erfolgreich durchgeführt und die URL www.google.com wird aufgerufen
Radius Service
Wie kann ich auf einem FortiAuthenticator ein Radius Client Konfigurieren?
| Konfiguration über das WebGui:
|
|
|
|
add 07.07.2022 - 4Tinu
Wie kann ich einem User Radius Attribute zuweisen?
Es gibt die Möglichkeit einem User verschiedene Attribute mitzugeben, damit diese auf dem Zielsystem berücksichtigt werden.
Grundsätzlich wird das folgendermassen durchgeführt.
| Konfiguration über das WebGui:
|
|
|
add 07.07.2022 - 4Tinu
Wie kann ich einer Usergruppe auf dem FortiAuthentikator Radius Attribute zuweisen?
| Konfiguration über das WebGui:
|
|
|
|
|
Weitere Informationen über die Radius Attribute gibt es in diesem Artikel |
add 07.07.2022 - 4Tinu
Wie konfiguriere ich, damit ich über den FortiAuthentikator auf dem FortiManager einen User authentifizieren kann?
Ich habe zwei User welche auf den FortiManager einloggen können sollen.
- Der User : testuser ist ein Standard User (wr)
- der User : testadmin hat SuperUser Rechte.
Diese beiden User sind auf dem FortiAuthentikator in der folgenden Gruppe zugewiesen:
- gr_fnoa_admin
| Konfiguration auf dem FortiAuthentikator:
|
|
Diese Administrationsrollen werden direkt im User zugewiesen über die Radiusattribute: Rechtezusweisung für den testuser: Vendor : Fortinet Attribute ID : Fortinet-Access-Profile Value : Standard_User <-- AdminProfil Name im FortiManager Rechtezuweisung für den testadmin User: Vendor : Fortinet Attribute ID : Fortinet-Access-Profile Value : Super_User <-- AdminProfil Name im FortiManager Mehr über die Zuweisung von Radius Attributen bei User findet man in diesem Artikel |
|
Die User werden in die Gruppe gr_fnao_admin zugewiesen. Damit der FortiManager die Gruppe erkennt, muss in der Gruppe noch der Gruppenname als Attribute gesetzt werden:
Mehr über die Zuweisung von Radius Attributen in Gruppen findet man hier |
|
Einen Radius Client auf dem FortiAuthentikator für den FortiManager konfigurieren. |
|
Nun muss eine RADIUS Service Policy erstellt werden:
|
|
|
|
|
|
Vendor : Fortinet
Attribute ID : Fortinet-Group-Name
Value : gr_fnao_admin <-- So erscheint der Gruppenname auf dem FortiManager
Auf dem FortiManager muss jetzt folgendes Konfiguriert werden:
| Konfiguration auf dem FortiManager:
|
Wie ein Radiusserver auf einem FortiManager genau konfiguriert wird, ist in diesem Artikel ausführlich beschrieben. |
|
|
|
Vertiefte Dokumentation findet man in diesem Wikiartikel |
Nun überprüfen wir die ganze konfiguration und loggen uns als testuser auf dem FortiManager ein:
Wir sehen dass die Oberfläche keine Systemeinstellungen hat. Diese Option ist nur dem Super_User Profil vorenthalten.
Besser sehen wir es im Eventlog des FortiManagers:
Auf dem FortiAuthentikator sehen wir das ganze auch im Debuglog: https://[IP-ADRESSE-FAC]/debug/radius/
385651+02:00 Received Access-Request Id 64 from 198.18.0.11:42464 to 198.18.0.14:1812 length 102 385684+02:00 User-Name = "testuser" 385696+02:00 User-Password: ****** 385707+02:00 Calling-Station-Id = "198.18.195.254" 385719+02:00 NAS-Identifier = "fmg_viaoem-lab-0001" 385728+02:00 Acct-Session-Id = "40" 385738+02:00 Connect-Info = "admin-login" 385758+02:00 # Executing section authorize from file /usr/etc/raddb/sites-enabled/default 385840+02:00 facauth: ===>NAS IP:198.18.0.11 385858+02:00 facauth: ===>Username:testuser 386211+02:00 facauth: ===>Timestamp:1657267500.385869, age:0ms 388395+02:00 facauth: Found authclient from preloaded authclients list for 198.18.0.11: radius_fmg_viaoem-lab-0001 (198.18.0.11) 392111+02:00 facauth: Found authpolicy 'auth_SOC_NOC' for client '198.18.0.11' 392138+02:00 facauth: Setting 'Auth-Type := FACAUTH' 392165+02:00 fac-viaoem-lab-0001 radiusd[9582]: Not doing PAP as Auth-Type is already set. 392190+02:00 # Executing group from file /usr/etc/raddb/sites-enabled/default 392225+02:00 facauth: Client type: external (subtype: radius) 392236+02:00 facauth: Input raw_username: (null) Realm: (null) username: testuser 392246+02:00 facauth: Searching default realm as well 392258+02:00 facauth: Realm not specified, default goes to FAC local user 396241+02:00 facauth: Local user found: testusers 396259+02:00 facauth: User [enable fido: false, token count: 0, revoked_token_count: 0] 396273+02:00 facauth: Policy [fido_auth_opt: disabled, twofactor: password only, no_fido: two factor, revoked: reject] 396285+02:00 facauth: Decided on [is_fido: false, two_factor: password only, token_type: none] 398009+02:00 facauth: Authentication OK 398024+02:00 facauth: Setting 'Post-Auth-Type := FACAUTH' 398953+02:00 facauth: Add Radius attribute: attr_id:809762822 (attr 6, vendor 12356) attr:Standard_User 399941+02:00 facauth: Add Radius attribute: attr_id:809762817 (attr 1, vendor 12356) attr:gr_fnao_admin 400079+02:00 facauth: Updated auth log 'testuser': Local user authentication with no token successful 400119+02:00 # Executing group from file /usr/etc/raddb/sites-enabled/default 400145+02:00 Sent Access-Accept Id 64 from 198.18.0.14:1812 to 198.18.0.11:42464 length 0 400161+02:00 Fortinet-Access-Profile += "Standard_User" 400171+02:00 Fortinet-Group-Name += "gr_fnao_admin"
Jetzt loggen wir mit dem testadmin User ein, dieser sollte Super_User Rechte auf dem FortiManager bekommen.
Auf der Oberfläche sehen wir nun alle Optionen inklusive System Einstellung.
Auch im Eventlog können wir erkennen, dass der testadmin User das Profil super_user zugewiesen bekommen hat.
Im Debuglog vom FortiAuthentikator sehen sieht es dann wie folgt aus: https://[IP-ADRESSE-FAC]/debug/radius/
812016+02:00 Received Access-Request Id 65 from 198.18.0.11:33159 to 198.18.0.14:1812 length 103 812056+02:00 User-Name = "testadmin" 812067+02:00 User-Password: ****** 812078+02:00 Calling-Station-Id = "198.18.195.254" 812090+02:00 NAS-Identifier = "fmg_viaoem-lab-0001" 812100+02:00 Acct-Session-Id = "41" 812110+02:00 Connect-Info = "admin-login" 812173+02:00 # Executing section authorize from file /usr/etc/raddb/sites-enabled/default 812423+02:00 facauth: ===>NAS IP:198.18.0.11 812457+02:00 facauth: ===>Username:testadmin 812841+02:00 facauth: ===>Timestamp:1657268425.811124, age:1ms 814517+02:00 facauth: Found authclient from preloaded authclients list for 198.18.0.11: radius_fmg_viaoem-lab-0001 (198.18.0.11) 817255+02:00 facauth: Found authpolicy 'auth_SOC_NOC' for client '198.18.0.11' 817280+02:00 facauth: Setting 'Auth-Type := FACAUTH' 817324+02:00 fac-viaoem-lab-0001 radiusd[9582]: Not doing PAP as Auth-Type is already set. 817352+02:00 # Executing group from file /usr/etc/raddb/sites-enabled/default 817402+02:00 facauth: Client type: external (subtype: radius) 817414+02:00 facauth: Input raw_username: (null) Realm: (null) username: testadmin 817424+02:00 facauth: Searching default realm as well 817437+02:00 facauth: Realm not specified, default goes to FAC local user 819806+02:00 facauth: Local user found: testadmin 819841+02:00 facauth: User [enable fido: false, token count: 0, revoked_token_count: 0] 819855+02:00 facauth: Policy [fido_auth_opt: disabled, twofactor: password only, no_fido: two factor, revoked: reject] 819876+02:00 facauth: Decided on [is_fido: false, two_factor: password only, token_type: none] 820944+02:00 facauth: Authentication OK 820958+02:00 facauth: Setting 'Post-Auth-Type := FACAUTH' 821581+02:00 facauth: Add Radius attribute: attr_id:809762822 (attr 6, vendor 12356) attr:Super_User 822153+02:00 facauth: Add Radius attribute: attr_id:809762817 (attr 1, vendor 12356) attr:gr_fnao_admin 822309+02:00 facauth: Updated auth log 'testadmin': Local user authentication with no token successful 822361+02:00 # Executing group from file /usr/etc/raddb/sites-enabled/default 822386+02:00 Sent Access-Accept Id 65 from 198.18.0.14:1812 to 198.18.0.11:33159 length 0 822398+02:00 Fortinet-Access-Profile += "Super_User" 822408+02:00 Fortinet-Group-Name += "gr_fnao_admin"
add 07.07.2022 - 4Tinu
Welche Fortinet Radius Attribute unterstützt der FortiAuthenticator?
Sämtliche Attribute welche der FortiAuthenticator unterstützt können direkt auf dem Authenticator entnommen werden:
| Konfiguration über das WebGui:
|
|
|
Wenn ich einen Doppelklick auf den Hersteller vornehme, bekomme ich alle defnierten Attribute dieses Vendors. In diesem Beispiel sehen wir alle Attribute von Fortinet: |
Hier sehen wir die ganze Liste, sie basiert auf die FAC FortiOS Version 6.4.4:
| Name | Attribute Number | Type |
| Fortinet-WirelessController-WTP-ID | 24 | STRING |
| Fortinet-WirelessController-Device-MAC | 23 | ETHER |
| Fortinet-WirelessController-Assoc-Time | 25 | DATE |
| Fortinet-Webfilter-Category-Monitor | 18 | OCTETS |
| Fortinet-Webfilter-Category-Block | 17 | OCTETS |
| Fortinet-Webfilter-Category-Allow | 16 | OCTETS |
| Fortinet-Vdom-Name | 3 | STRING |
| Fortinet-Tenant-Identification | 41 | STRING |
| Fortinet-SSID | 7 | STRING |
| Fortinet-Interface-Name | 5 | STRING |
| Fortinet-Group-Name | 1 | STRING |
| Fortinet-Fpc-User-Role | 40 | STRING |
| Fortinet-Fpc-Tenant-User-Sites | 42 | STRING |
| Fortinet-FortiWAN-AVPair | 26 | STRING |
| Fortinet-FDD-Trusted-Hosts | 31 | STRING |
| Fortinet-FDD-SPP-Policy-Group | 35 | STRING |
| Fortinet-FDD-SPP-Name | 32 | STRING |
| Fortinet-FDD-Is-System-Admin | 33 | STRING |
| Fortinet-FDD-Is-SPP-Admin | 34 | STRING |
| Fortinet-FDD-Access-Profile | 30 | STRING |
| Fortinet-Client-IPv6-Address | 4 | OCTETS |
| Fortinet-Client-IP-Address | 2 | IPADDR |
| Fortinet-AppCtrl-Risk-Block | 22 | OCTETS |
| Fortinet-AppCtrl-Risk-Allow | 21 | OCTETS |
| Fortinet-AppCtrl-Category-Block | 20 | OCTETS |
| Fortinet-AppCtrl-Category-Allow | 19 | OCTETS |
| Fortinet-Access-Profile | 6 | STRING |
| Fortinet-AP-Name | 8 | STRING |
|
|
Informationen über Radius Attribute allgemein findet man unter folgendem externen Link:
|
add 07.07.2022 - 4tinu
Wie kann ich auf einem FortiAuthenticator ein Radius Client Konfigurieren? -Version5.0
Nun möchte man zB auf einem FortiGate Device eine Radius Authentication benutzen resp. FortiAuthenticator so muss folgendes als Grundvoraussetzung konfiguriert werden:
• Vergewissere dich, dass auf beiden Geräten FortiGate und/oder FortiAuthenticator die korrekte Zeitzone
gesetzt ist sowie die Zeit korrekt mit dem gleichen Zeit-Server (NTP) synchronisert wird!
• Vergewissere dich, dass beide Devices dh. FortiGate und FortiAuthenticator über einen DNS "A" Record
verfügt sowie sofern möglich über einen PTR Record
• Erfasse auf dem FortiGate Device den FortiAuthenticator als Radius Server und vergebe ein "Preshared Secret":
User & Device > Authentication > RADIUS Servers > Create New
Standardsgemäss läuft Radius auf einer FortiGate auf Port 1812 (New Radius) und Radius Accounting auf Port 1813 (Radius New Accounting). Muss aus irgendwelchen Gründen "Old Radius" (Port 1645) benutzt werden so muss diese Konfiguration über Komandozeile auf der FortiGate durchgeführt werden:
# config system global
# set radius-port 1645
# end
• Erfasse auf der FortiAuthenticator den FortiGate Device als Radius Client und vergebe das gleiche
"Preshared Secret" wie für den Radius Servers auf der FortiGate:
Authentication > RADIUS Service > Clients > Create New
Bei der Radius Client Konfiguration ist darauf zu achten welche Authentifizierungs Methode benutzt wird sowie ob Local Server oder Remote Server genutzt wird. Weitere Informationen siehe folgender Artikel:
FortiAuthenticator:FAQ#Was_ist_auf_einem_FortiAuthenticator_zu_beachten_wenn_f.C3.BCr_ein_Radius_Client_verschiedenen_Authentifizierungen_ben.C3.BCtzt_werden.3F
Sobald die Konfiguration durchgeführt wurde, kann die Verbindung die durch das "Preshared Secret" verschlüsselt wird getestet werden. Dafür kann temporaer ein lokaler User auf dem FortiAuthenticator erfasst werden und dieser für Radius Authentication freigegeben werden. Dazu muss ein lokaler User mit dessen Passwort erfasst werden unter:
Authentication > User Management > Local User > Create New
• Danach erstelle für diesen User eine lokale Gruppe unter folgender Position und füge den soeben
erstellten User hinzu:
Authentication > User Management > User Groups > Create New
• Diese Gruppe muss nun zum entsprechenden Eintrag des "Radius Client" (Auth. Clients) hinzugefügt
werden:
Authentication > RADIUS Service > [Wähle den entsprechenden Eintrag für den "Radius Client"]
Füge die entsprechende Gruppe die erstellt wurde hinzu:
• Nun kann auf dem FortiGate Device im entsprechenden Eintrag des Radius Servers anhand des "Test"
Button der Username und Passwort für den User den wir soeben erfasst haben getestet werden:
User & Device > Authentication > RADIUS Servers > [Wähle den entsprechenden Eintrag]
Was ist auf einem FortiAuthenticator zu beachten wenn für ein Radius Client verschiedenen Authentifizierungen benützt werden?
Ein FortiAuthenticator kann verschiendenartig genutzt werden dh. zB um Two-Factor Authentifizierungenen anhand ActiveDirectory/LDAP für VPN Access über eine FortiGate bereitzustellen und gleichzeitig zB Self-Registrtion Funktion über ein Captive Portal für eine SSID auf der gleichen FortiGate. Diesem Umstand wurde im FortiAuthenticator 4.0 Rechnung getragen dh. die verschiedenen Authentifizierungen werden mit verschiedenen Realms und diese wiederum mit deren Gruppen Verknüpft. Dies gewährleistet, dass für einen Radius Client verschiedenen Gruppen und Authentifizierungen unterschieden werden können. Der Nachteil liegt darin, dass die User mit Realms arbeiten müssen dh. es gilt somit anhand der Angabe des Realms zB username\realm ein Login durchzuführen damit anhand des Realm die korrekte Gruppe resp. Authentifizierung ausgelöst wird. Dieser Umstand ist im nachfolgenden Artikel erklärt:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F
Eine andere transparentere Möglichkeit ist für eine FortiGate mehrere Radius Clients zu erfassen und somit die verschiedenen Authentifizierungs Möglichkeiten anhand des Radius Clients zu unterscheiden. Somit würde jeder erfasste Radius Client auf dem FortiAuthenticator die entsprechende Gruppe beinhalten zB eine für Lokal User und eine für Remote User (ActiveDirectory/LDAP). Nachfolgend wird erklärt wie auf einem FortiGate Device dies zu konfigurieren ist und wie dies auf einem FortiAuthenticator durchgeführt wird:
• Konfiguriere auf dem FortiGate Device einen Radius Server sowie auf dem FortiAuthenticator einen Radius Client:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
• Konfiguriere auf dem FortiGate Device eine Gruppe (zB Group-I)und füge dieser Gruppe den Radius Server hinzu:
User & Device > User > User Groups > Create New
• Auf dem FortiAuthenticator wird im entsprechenden Radius Client unter Realms die entsprechende Gruppe (zB Group-I) hinzugefügt:
Authentication > Radius Service > Clients
Die Standard Konfiguration ist abgeschlossen dh. der konfigurierte Radius Server auf dem FortiGate Device für die Gruppe zB Group-I Authentifiziert mit dem konfigurierten Radius Client auf dem FortiAuthenticator in dem die Gruppe zB Group-I konfiguriert wurde. Ziel der nächsten Konfiguration ist eine Gruppe zB Group-II über einen seperaten Radius Client Konfiguration auf dem FortiAuthenticator zu konfigurieren:
• Konfiguriere auf dem FortiGate Device auf dem Interface im Segment des FortiAuthenticators eine Sekundäre IPv4 Adresse. Die
Primäre Adresse des existierenden Interface im Segment des FortiAuthenticators wird benutzt für die existierende Konfiguration
der Radius Server Konfiguration auf dem FortiGate Device. Die Sekundäre IPv4 Adresse wird nachträglich benutzt für die zweite
Radius Client Konfiguration auf dem FortiAuthenticator. Konfiguriere die Sekundäre IPv4 Adresse auf dem entsprechenden Interface:
System > Network > Interfaces > [Wähle das entsprechende Interface] > Edit > [Aktiviere Secondary IP Address]
Die Konfiguration kann ebenfalls über CLI durchgeführt werden:
# config system interface
# edit [Name des entsprechenden Interfaces]
# set secondary-IP enable
# config secondaryip
# edit 1
# set ip [IPv4 Adresse zB 192.168.1.1/32]
# unset allowaccess
# end
# end
Wenn Festgestellt werden muss über welches Interface ein bestehenden Radius Traffic durchgeführ wird kann über das "sniffer"
Kommando über CLI dies verifiziert werden.
# diagnose sniffer packet any "port 1812"
• Nun erstelle auf dem FortiGate Device einen weiteren Eintrag für den Radius Server. Dabei kann die gleiche IPv4 Adresse benutzt
werden wie für den bereits existierenden Eintrag des Radius Server jedoch müssen sich die Namen der Radius Server unterscheiden.
Ebenso muss sich das "Pre-Shared Secrect" vom bereits existierenden Eintrag unterscheiden. Weitere Informationen wie man einen
Radius Server auf einem FortiGate Device Konfiguriert siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
• Erstelle nun auf dem FortiGate Device eine Gruppe (zB Group-II) und füge dieser Gruppe den neu erstellen Radius Server Eintrag
hinzu:
User & Device > User > User Groups > Create New
Auf dem FortiGate Device sind nun zwei Einträge vorhadnen für den gleichen FortiAuthenticator die sich nur durch den Namen sowie
Pre-Shared Secret unterscheiden. Ebenso existieren 2 Gruppen für die jeweils ein Radius Server konfiguriert wurde.
• Nun muss auf der FortiGate für die zweite Radius Server Konfiguration die Source IPv4 Adresse so konfiguriert werden damit die
Sekundäre IPv4 Interface Adresse benutzt wird. Führe folgendes auf der CLI aus:
# config user radius
# edit [Namen des entsprechenden Radius Servers]
# set source-ip [IPv4 Adresse des Sekundären Interfaces]
# end
Wenn nun die konfigurierten Radius Server auf dem FortiGate Device Authentifizierungs Nachrichten zum FortiAuthenticator senden,
benutzen diese unterschiedliche IPv4 Adressen dh. ein Radius Server über die Primäre IPv4 Adresse des Interfaces und ein Radius
Server die Sekundäre IPv4 Adresse des Interfaces und können somit auf dem FortiAuthenticator unterschieden werden.
• Auf dem FortiAuthenticator kann nun ein weiterer Radius Client erfasst werden basierend auf der Sekundären IPv4 Adresse des
Interfaces auf der FortiGate sowie mit dem entsprechenden Pre-Shared Secret. Ebenso kann diesem Eintrag eine Gruppe hinzugefügt
werden mit der entsprechenden Authentifizierungs Möglichkeiten die sich zB vom ersten Eintrag komplett unterscheidet:
Authentication > Radius Service > Clients
In dieser Art und Weise kann für jede Gruppe und Authentifizierungs Möglichkeit über seperate Radius Clients diese unterschieden werden.
Remote Auth Servers
Wie kann ich auf einem FortiAuthenticator ein ActiveDirectory/LDAP Einbindung Konfigurieren?
Ein LDAP Server wird über folgende Position definiert/konfiguriert:
Authentication > Remote Auth. Servers > Create New
Für eine Verschlüsselung steht zusätzlich "Secure Connection" zur Verfügung. Ueber diese Funktion kann die Verbindung zu einem ActiveDirectory/LDAP Verschlüsselt durchgeführt werden:
Sobald der LDAP ordnungsgemäss konfiguriert wurde sollte über die folgende Position innerhalb der LDAP Konfiguration auf dem FortiAuthenticator der LDAP anhand dem "Browse" Symbole getestet werden:
Wie kann ich auf einem FortiAuthenticator zusätzlich für Fallback einen Sekundäres ActiveDirectory/LDAP Konfigurieren?
Unter dem FortiAuthenticator 3.0 war es nicht möglich, bei der Konfiguration eines ActiveDirectory/LDAP Servers, einen zweiten Sekundäres ActiveDirectory/LDAP Server zu konfigurieren um einen "Fallback" abzudecken. Im FortiAuthenticator ab Version 3.1 ist dies nun möglich und wird unter folgender Position konfiguriert:
Authentication > Remote Auths Servers > LDAP > [Aktiviere "Use secondary server"]
Dabei ist folgendes zu berücksichtigen: Das Sekundäre ActiveDirectory Server resp. LDAP wird nur dann benutzt wenn der Primäre nicht erreichbar ist!
Wie kann ich auf einem FortiAuthenticator für User aus einem ActiveDirectory/LDAP eine Tocken Authentication Konfigurieren?
Wenn im FortiAuthenticator ein ActiveDirectory resp. LDAP User für Token sei es Hardware Token oder SMS basierend eingebunden werden möchte, muss der User aus dem ActiveDirectory/LDAP importiert werden damit dem User nachträglich ein entsprechender Token hinzugefügt werden kann. Wird ein SMS Token benutzt so können die Mobile Informationen des Users aus dem ActiveDirectory/LDAP ebenfalls mit Importiert und genutzt werden sofern diese im Active Directory korrekt hinterlegt wurden. Ausgangslage um die User aus einem ActiveDirectory/LDAP zu Importieren ist die Konfiguration des ActiveDirectory/LDAP Servers selber. Weitere Informationen dazu siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_ActiveDirectory.2FLDAP_Einbindung_Konfigurieren.3F
Nach dem der ActiveDirectory resp. LDAP Server konfiguriert wurde kann über die nachfolgende Position ein entsprechender User mit dessen Informationen Importiert werden:
Authentication > User Management > Remote Users
Zusätzlich zu dieser import Funktion steht ebenfalls die "Remote User Sync Rules" zur Verfügung. Diese Funktion gewährleistet, dass die Informationen aus dem ActiveDirectory resp. LDAP betreffend User auf den neusten Stand gehalten werden da Updates im ActiveDirectory resp. LDAP wie zB Mobile Nummer Aenderungen der User nicht automatisch auf dem FortiAuthenticator eingespielt werden:
Authentication > User Management > Remote User Sync Rules
Was muss ich beachten wenn im ActiveDirectory/LDAP User Informationen geändert werden die auf einem FortiAuthentictaor Konfiguriert sind?
Wenn über die "Remote Users" Funktion ActiveDirectory respektive LDAP User importiert werden inkl. zusätzlicher Informationen wie zB deren Mobile Nummer werden diese nicht automatisch auf dem FortiAuthenticator auf den neuesten Stand gebracht wenn diese im ActiveDirectory resp. LDAP verändert werden. Dies kann auf der einen Seite Manuell durchgeführt werden oder Automatisiert. Für die manuelle Variante wird der User erneut als "Remote User" importiert und somit auf den neusten Stand gebracht. Für die automatische Variante steht die Funktion "Remote User Sync Rules" zur Verfügung:
Bei dieser Funktion ist Vorsicht geboten. Bei einer falschen Konfiguration kann es dazu kommen das die User Information Fälschlicherweise überschrieben werden. Es ist zu empfehlen die Funktion nur dann zu nutzen wenn nicht darauf verzichtet werden kann!
Wo kann ich für einen FortiAuthenticator den Agent for Microsoft Windows oder Outlook Web Access runterladen?
Den Microsoft Windows Agent sowie den Outlook Web Access Agent kann man direkt im FortiAuthenticator runterladen:
Authentication > FortiAuthentication Agent
Dieser Agent steht unter Fortinet Support resp. im Download Verzeichnis des FortiAuthenticator nicht zur Verfügung und kann ausschliesslich über den FortiAuthenticator runtergeladen werden. Vor der Installation ist zu empfehlen die entsprechenden Admin Guides zu konsultieren:
Datei:Fac-agent-for-ms-iis-owa-guide-40.pdf (FortiAuthenticator 4.0 Agent for Microsoft IIS/OWA - Install Guide) Datei:Fac-agent-for-ms-windows-guide-40.pdf (FortiAuthenticator 4.0 Agent for Microsoft Windows Administration Guide) Datei:Fac-agent-for-ms-windows-guide-41.pdf (FortiAuthenticator 4.1 Agent for Microsoft Windows Administration Guide)
Weitere Versionen des Admin Guide findet man unter nachfolgenden Artikel:
FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wie kann ich auf einem FortiAuthenticator für einen Windows Server eine Radius Authentifizierung anhand pGina Konfigurieren?
Grundsätzlich steht für einen Windows Server im Verwendung zum FortiAuthenticator der "Agent for Microsoft Windows" zur Verfügung. Dieser Agent ermöglicht eine "reine" Two-Factor Authentifizierung basierend auf LDAP und Radius Server! Wenn jedoch eine "Einfache Radius" Authentifizierung gewünscht wird bewerkstelligt dies dieser "Agent for Microsoft Windows" nicht. Der "Agent for Microsoft Windows" basiert auf der "Gina" Schnittstelle von Windows. Das OpenSource Project "pGina" benutzt exakt die gleiche Vorgehensweise und ist deshalb predistiniert für eine reine "Radius Authentifizierung". pGina benutzt dazu sein eigenes "Radius Plug-In". Nachfolgendes Beispiel zeigt wie "pGina" installiert sowie konfiguriert wird:
•Plugin Name: RADIUS Authentication & Accounting Plugin
•Plugin Type: Authentication, Notification
•Version: 3.1.x
pGina Page http://pgina.org/
pGina Download http://pgina.org/download.html
RADIUS Plugin Documentation http://pgina.org/docs/v3.1/radius.html
Nachfolgendes Beispiel wurde im Zusammenhang mit einem Windows 2008 R2 Server durchgeführt!
Konfigurieren des Radius Client (Windows Server) auf dem FortiAuthenticator für pGina:
• Erfasse den Windows Server auf dem Authenticator als "Radius Client" und achte darauf, dass
unter dem Eintrag des "Radius Client" folgende Position aktiviert ist:
Password-only authentication (exclude users without a password)
NOTE pGina unterstützt keine Two-Factor Authentification!
Weitere Details betreffend des Erfassens des "Radius Client" auf dem FortiAuthenticator siehe
nachfolgenden Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
Installation von pGina:
• Lade die Software pGina von der oben genannten Seite runter und starte die Installation anhand
des Files "pGinaSetup-3.1.8.0.exe". Achte darauf das pGina mit vollen Administratoren Rechten
installiert wird.
• Nach der Installation befindet sich unter "Start > All Programs" ein neuer Order mit dem Namen
"pGina". Darin befindet sich Konfigurations Utilitie "pGina":
"C:\Program Files\pGina\pGina.Configuration.exe"
Radius Plug-In Konfiguration von pGina:
• Unter dem Register "Plug-In Selection" aktiviere die "Radius" Position gemäss Abbildung:
• Danach markiere die Zeile für "Radius" und gehe auf "Configure":
Server [Gebe die IP des FortiAuthenticators an]
Shared Secret [Gebe das Shared Secret an das für den Radius Client auf dem FortiAuthenticator definiert wurde]
Maschine Identifier [IP Address Only]
• Der nächste Schritt ist Optional und wird dann benötigt wenn der User der einloggt über "pGina" in eine bestimmt Gruppe
hinzugefügt werden soll. In unserem Beispiel wird "pGina" auf einem Terminal Server benutzt dh. damit die User -die lokal
nicht existieren sondern beim einloggen angelegt werden- einloggen können müssen diese zur Gruppe "Remote Desktop Users"
hinzugefügt werden. Um die Konfiguration durchzuführen markiere die Zeile für "Local Machine". Danach gehe auf "Configure":
Je nachdem "was" für Software installiert wird und je nachdem über welche Rechte die User verfügen sollen muss die "reguläre"
Gruppe "Users" ebenfalls hinzugefügt werden!
• Nun muss als nächsten Schritt die Authentifizierungs Reihenfolge geändert werden dh. von "Local Maschine" auf "Radius".
Dazu wähle den Register "Plug-In Order" und verändere entsprechend die Reihenfolge:
• Nun muss verhindert werden, dass die lokale Authentifizierung auf dem Windows Server berücksichtigt wird resp. unterdrückt
wird. Dazu wähle den Register "Credential Provider Options" und führe folgende Konfiguration durch:
Windows Group Policy Konfiguration:
• Damit die RDP Verbindung im Zusammenhang mit dem Windows Terminal Server sowie "pGina" funktioniert muss die RDP Verbindung
betreffend Verschlüsselung auf "Low Level" gesetzt werden. Dazu führe als Administrator folgendes aus:
Start > Run > GPedit.msc
Wähle die entsprechende Position gemäss Abbildung und danach setzt für die Verbindung resp. Encryption "Low Level":
• Als Letzteres muss die Password Komplexität deaktiviert werden ansonsten erscheinen Fehlermeldungen unter "pGina" im Register
"Simulation". Die Passwort Komplexität wird über den FortiAuthenticator gesteuert unter "Authentication > User Account Policies >
Passwords". Wähle gemäss Abbildung die entsprechende Position und setze diese auf Disabled:
Testen der pGina Funktion:
• Nun kann das "pGina" Radius Plug-In getestet werden dh. Vorraussetzung dafür ist:
--> Korrekt erfasster (Preshared Secret und IP) Radius Client (Windows Server) auf dem FortiAuthenticator
--> Existierender User auf dem FortiAuthenticator der in einer entsprechenden Gruppe Mitglied ist und diese für den Radius Client konfiguriert ist
Im "pGina" Plug-In gehe nun auf den Register "Simulation" und gebe dort den entsprechenden Username und Passwort ein. Danach gehe
auf den "grünen Pfeil" neben den Passwort. Die Werte werden abgespeichert und die Verbindung getestet. Im Bereich "Results" wird
ein erfolgreicher Test protokolliert. Details dieses Test können unter "Show Log" eingesehen werden.
Messsaging Service/Server
Wie kann ich auf einem FortiAuthenticator ein SMTP Server Konfigurieren für Versendung von Email Nachrichten?
Ein SMTP Server der dazu dient EMails für die Services auf einem FortiAuthenticator zu versenden wie zB für Two-Factor kann unter folgender Position definiert werden:
System > Messaging > SMTP Servers > Create New
Ein entsprechender Server kann als "Default" definiert werden. Dies bedeutet: Wenn zwei SMTP Server konfiguriert werden und einer dieser als "Default" definiert wird gilt dieser der nicht als "Default" definiert als "Fallback" SMTP Server:
Der neu erfasste "SMTP Server" muss/kann nun für den E-Mail Service betreffend User/Administratoren zugewiesen werden! Wird dies nicht explizit durchgeführt gilt die Definitin des "Default Server". Die Konfiguration wird unter folgende Position durchgeführt:
Wie kann ich auf einem FortiAuthenticator ein SMS Gateway konfigurieren für die Versendung von SMS Nachrichten?
Wenn auf dem FortiAuthenticator für die Two-Factor Authentication SMS Nachrichten versendet werden sollen, stehen folgende Protokolle zu Verfügung:
- SMTP
- HTTP (Get oder Post)
- HTTPS
Die bevorzugte Variante ist HTTP oder HTTPS. Der Grund ist der folgende: Die Nachrichten werden für HTTP/HTTPS direkt beim SMS Provider abgesetzt und müssen nicht wie bei der SMTP Methode zuerst über Mailgateways versendet werden. Somit ist die Zustellung zuverlässiger und schneller. Wenn man sich dennoch für die SMTP Methode entscheidet wird das folgendermassen konfiguriert:
| Konfiguration im WebGui FortiOS 4.x/5.x:
|
Konfiguration im WebGui FortiOS 6.x:
|
| |
|
|
|
| |
|
|
|
|
Bei der Definierung der Position "Mail-to-SMS gateway" muss darauf geachtet werden, dass evtl. die Variable "{{:country_code}} VOR der Variable {{:mobile_number}} gesetzt wird. Die Einstellungen können über die Position "E-mail Preview" kontrolliert werden: | |
|
|
|
Wie gesagt die bevorzugte Variante wäre HTTP Get resp. HTTPS Get. Der Vorteil dieser Art und Weise der SMS Übermittlung liegt daran, dass die SMS Auslösung in "Echtzeit" geschieht. Dies bedeutet: Das SMS wird über z.Bsp über "HTTP Get/Post" direkt über eine URL beim Provider abgesetzt resp. ausgelöst und muss nicht über Email zuerst ausgelöst und zum Provider übermittelt werden (Zeitverzögerung). Eine "HTTP Get" Implementierung unterscheidet sich nicht gegenüber einer "HTTPS Get" Implementierung dh., dass ausser bei "HTTPS Get" das "Trusted Certificate" des SMS Providers in der CA des Authenticators eingelesen werden muss:
Certificate Management > Certifcate Authorities > Trusted CAs > Import
Nachdem das entsprechende Zertifikat importiert wurde kann dieses nachträglich in der SMS Gateway Konfiguration unter "CA certificate" konfiguriert werden. Von einer "HTTP Post" Implementierung ist abzusehen da die Kompatibilität gegenüber den Providern mehrheitlich nicht gegeben ist. Ebenso sprechen div. "Security Aspekte" nicht für eine HTTP Post Implementierung. Hinsichtlich, dass für die Übermittlung ein "Username" und "Passwort" übermittelt werden muss ist es empfehlenswert "HTTPS Get" zu benutzen um das Passwort nicht "clear-text" übermitteln zu müssen. Grundsätzlich funktioniert die Übermittlung anhand einer URL dh., man bekommt vom Provider eine Seite/Funktion über dessen URL ein SMS abgesetzt werden kann. Es gilt nun diese URL in ihre Bestandteile zu zerlegen und die einzelnen Funktionen dem "FortiAuthenticator" unter "SMS Gateway" mitzuteilen. Wenn dies korrekt durchgeführt wurde, wird dies über "URL Preview" in der Konfiguration angezeigt und kann getestet werden. Im nachfolgenden Beispiel, einer Implementierung des Providers, sieht die URL folgendermassen aus:
| Konfig Parameter für Dolphin System AG: | |
|
Infos über Dolphin Systems AG findet man auf der Page http://www.dolphin.ch URL Preview: http://www.ecall.ch/ecallurl/ecallurl.ASP?'''WCI=Interface'''&'''Function=SendPage'''&'''Address=0041795555555'''&'''Message=Test'''&'''AccountName=Username'''&'''AccountPassword=Password''' In diesem Beispiel sind die relevanten Funktionen: | |
| Variabel: | Inhalt: |
| API URL | www.ecall.ch/ecallurl/ecallurl.ASP |
|
WCI |
Interface |
|
Function |
SendPage |
|
Address |
Mobile Nummer mit Landesvorwahl |
|
Message |
Nachricht die Übermittelt werden soll |
|
AccountName |
Username des Accounts beim SMS Provider |
|
AccountPasswort |
Passwort des Accounts beim SMS Provider |
|
Diese Informationen müssen nun dem "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden: | |
| Konfiguration im WebGui FortiOS 4.x/5.x:
|
Konfiguration im WebGui FortiOS 6.x:
|
|
|
|
|
Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Dolphin Systems AG" folgender Code:
| |
| Konfig Parameter für Truesenses: | |
|
Infos über Truesenses findet man auf der Page: http://www.truesenses.com URL Preview: http://www.truesenses.com/cgi-bin/smsgateway.cgi?'''CMD=SENDMESSAGE'''&'''NUMBER=0041795555555'''&'''MESSAGE=Test'''&'''ACCOUNT=Username'''&'''PASSWORD=Password''' In diesem Beispiel sind die relevanten Funktionen: | |
| Variabel: | Inhalt: |
| API URL | www.truesenses.com/cgi-bin/smsgateway.cgi |
|
CMD |
SENDMESSAGE |
|
NUMBER= |
Mobile Nummer mit Landesvorwahl |
|
MESSAGE |
Nachricht die übermittelt werden soll |
|
ACCOUN |
Username des Accounts beim SMS Provider |
|
PASSWORD |
Passwort des Accounts beim SMS Provider |
|
Diese Informationen müssen nun dem "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden: | |
| Konfiguration im WebGui FortiOS 4.x/5.x:
|
Konfiguration im WebGui FortiOS 6.x:
|
|
|
|
|
Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Truesenses" folgender Code: | |
Wo kann ich auf einem FortiAuthenticator das Token Timeout für einen SMS/SMTP Gateway konfigurieren?
Der Token der über einen entsprechenden Konfigurierten SMS und/oder SMTP Gateway versendet wird beinhaltet ein Timout dh. Die definierte Zeit wie lange ein Token für ein Login Zur Verfügung steht, nachdem er vom FortiAuthenticator über den entsprechenden SMS und/oder SMTP Gateway versendet wurde. Das Token Timeout lässt sich auf einem FortiAuthenticator über folgende Menüposition Konfigurieren:
| Konfiguration über das WebGui:
|
|
FortiOS 4.x/5.x: FortiOS 6.x:
|
|
Beachte auch folgenden Artikel: |
Wie konfiguriere ich einen User mit SMS Authentifizierung auf dem FortiAuthenticator?
| Konfiguration über das WebGui:
|
|
Einen User eröffnen: (wir eröffnen jetzt einen lokalen User, der Ablauf um den Token beim User hinzuzufügen basiert auf dem selben Prinzip.
Nun wird dem User der SMS Token hinzugefügt. Dafür müssen wir den User editieren.
Ergebnis: |
einen neuen User erstellen.
Radius Attributes
Wie Konfiguriere ich auf einem FortiAuthenticator Radius Attributes?
Im Zusammenhang mit einer Radius Authentifizierung können verschiedene Radius Attributes verwendet werden. Diese Radius Attributes werden auf einem Radius Server zB FortiAuthenticator für eine User Authentifizierung dem Radius Client zB einem FortiGate Device nach erfolgreicher Authentifizierung mitgegeben/zurückgesendet damit der Radius Client basierend auf diesen Radius Attributes Aktionen, Zugehörigkeit etc. Ausführen kann. Weitere Informationen zu den Radius Attributes findet man unter folgenden Link:
https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
Für Radius Attributes Konfiguration stehen etliche Vendor Specific Attributes zur Verfügung die in verschiedenster Art und Weise verwendet werden können. Für ein praktisches Anwendungsbeispiel im Zusammenhang mit einer SSL-VPN Authentifizierung für einen FortiGate Device siehe nachfolgender Artikel:
FortiGate-5.4-5.6:FAQ#Wie_konfiguriere_ich_auf_einer_FortiGate_unter_FortiOS_5.4_eine_.22Radius.22_Authentifizierung_inkl._Radius_Attributes.3F
Radius Attributes können auf einem FortiAuthenticator für User, Gruppen sowie für Radius Clients Konfiguriert werden. In erster Linie wird empfohlen Radius Attributes in Gruppen zu verwenden:
Authentication > User Management > User Groups
In diesem Beispiel wird als Radius Attribute Vendor Spezifisch "Fortinet" gewählt sowie "Fortinet-Group-Name". Dazu wird der Gruppen Name des FortiGate Devices Konfiguriert anhand "gr-admin". Somit wird eine Authentifizierung ausgeführt und der entsprechende User befindet sich in dieser Gruppe wird als Radius Attribute dem FortiGate Device zurück gemeldet "member of gr-admin". Wie schon erwähnt können Radius Attributes ebefenfalls für User sowie innerhalb eines Radius Client Konfiguriert werden. User basierende Attributes könne nur dann Konfiguriert werden wenn die "Role" des Users nicht auf "Administrator" Konfiguriert wurde:
Authentication > Local Users > [Wähle einen entsprechenden User] > RADIUS Attributes
Wenn ein Radius Attribute innerhalb einer Radius Client Konfiguration defniert werden soll kann dies unter folgender Position durchgeführt werden:
Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Radius Client] > Apply this profile based on RADIUS attributes
Backup/Restore
Wie kann ich für einen FortiAuthenticator ein Backup/Restore ausführen?
Ein manuelles Backup und/oder Restore kann unter folgender Position erstellt werden:
System > Dashboard > Status > System Information > System Configuration > Backup/Restore
Ein Backup eines FortiAuthenticator besteht aus einem ".conf" File. Dieses File ist jedoch nicht editierbar und/oder leserlich sowie ist ein "binary" File.
Wie kann ich auf einem FortiAuthenticator ein Backup Automatisieren?
Ein Backup für einen FortiAuthenticator lässt sich über "FTP/SFTP" Automatisieren und zwar über folgende Position:
System > Administration > Config Auto-backup
Der entsprechende FTP Server der unter der gezeigten Position gewählt werden muss, kann über folgende Position konfiguriert werden:
System > Administration > FTP Servers > New
Monitor
Wie kann ich auf einem FortiAuthenticator User Monitoren betreffend deren Status zB Inaktive, Lockout?
Folgende Monitoring Position ermöglichen einen Ueberlick zu geben über "Windows AD" User, "Inaktive User" oder "Lockout Users:
Monitor > Authentication > [Wähle die entsprechende Position]
Logging
Wo sehe ich das Log eines FortiAuthenticators?
Wie finde ich auf einem FortiAuthenticator dessen Log?
Das Log eines FortiAuthenticators befindet sich unter folgender Position:
Logging > Log Access > Logs
Wenn ein Log-Eintrag gewählt wird so werden die Details auf der rechten Seite angezeigt! Jede Authentifizierung löst im Log einen entsprechenden Log Eintrag oder mehrer entsprechende Log Einträge aus.
Wie kann ich für einen FortiAuthenticator dessen Logs Automatisiert auf einen Remote Server Transferieren?
Um die Logs eines FortiAuthenticators automatisiert auf einen FTP/SFTP zu übermittelnt kann folgendes Konfiguriert werden:
Logging > Log Config > Log Setting
In dieser Konfiguration muss ein entsprechender FTP/SFTP Server angegeben werden. Diese Konfiguration eines FTP/SFTP Server kann über folgende Position durchgeführt werden:
System > Administration > FTP Servers
Wie kann ich auf einem FortiAuthenticator dessen Logs Automatisiert und Zeitbasierend Löschen?
Der FortiAuthenticator verfügt über eine "autodeletion" Funktion betreffend seinen Logs. Diese Konfiguration befindet sich unter folgender Position:
Logging > Log Config > Log Setting
In diesem Zusammenhang mit der "autodeletion" Funktion sollte berücksichtigt werden, dass die Logs ebenfalls auf einen Remote Server gespielt werden können dh. Diese zwei Funktionen ergänzen sich und können gemeinsam benutzt werden. Weitere Informationen zur Funktion der Transferierung der Logs auf einen Remote Server findet man im nachfolgenden Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_dessen_Logs_Automatisiert_auf_einen_Remote_Server_Transferieren.3F
Wie kann ich auf einem FortiAuthenticator für dessen Logs ein Syslog Server Konfigurieren?
Der FortiAuthenticator bietet die Funktion seine Logs einem Syslog Server zu übermitteln. Unter folgender Position wird ein Syslog Server Konfiguriert:
Logging > Log Config > Syslog Servers
Nach der Definition eines Syslog Servers kann die Syslog Funktion über folgende Position aktiviert werden:
Logging > Log Config > Log Setting
Dabei ist zu berücksichtigen, dass ein FortiAuthenticator seine Logs über Syslog auch einen FortiAnalyzer senden kann dh. im FortiAanlyzer wird der FortiAuthenticator zur Syslog Funktion hinzugefügt. Ab FortiAuthenticator 4.2 im Zusammenhang mit einem FortiAnalyzer 5.4.2 können die Logs des FortiAuthenticator direkt zum FortiAnalyzer gesendet werden dh. nicht mehr unter Benutzung eines Syslog Server. Weitere Informationen siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_dessen_Logs_ein_FortiAnalyzer_Konfigurieren.3F
Wie kann ich auf einem FortiAuthenticator für dessen Logs ein FortiAnalyzer Konfigurieren?
Bis FortiAuthenticator 4.1 war es nur möglich anhand einer Syslog Konfiguration die Logs zu einem FortiAnalyzer zu senden. Weitere Informationen wie dies zu Konfigurieren ist siehe nachfolgender Artikel:
FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_dessen_Logs_ein_Syslog_Server_Konfigurieren.3F
Ab FortiAuthentictor 4.2 steht nun explizit eine Konfiguration für einen FortiAnalyzer zur Verfügung die benutzt werden ab FortiAnalyzer 5.4.2 Build 1117. Diesen Konfigurationspunkt findet man unter folgendem Menüpunkt:
Logging > Log Config > Log Setting > FortiManager/FortiAnalyzer
Debug
Wie komme ich im FortiAuthentikator in den Debug Modus?
Um in den Debug Modus des FortiAuthentikators zu gelangen, muss folgende URL im Browser eingegeben werden:
https://<IP-Adresse-FAC>/debug
Es können nun verschiedene Debug Logs ausgewählt werden:
| Konfiguration über das WebGui |
|---|
|
|
Es kann noch in einen erweiterten Debug Modus eingewählt werden, von welchem aus mann noch mit Username und Passwort tests durchführen kann:
| Konfiguration über das WebGui |
|---|
|
|
Wen man im erweiterten Debug Modus eingelogt ist, wird dies durch den Hinweis Debugging mode active angezeigt. Es kann jetzt ein Username und Passwort eingegeben werden um entsprechende Users zu überprüfen.
| Konfiguration über das WebGui |
|---|
|
|
Hier sehen wir einen Output im debug Modus:
| Konfiguration über das WebGui |
|---|
|
|
Der ganze Output kann in der Menuleiste über das Symbol 
heruntergeladen werden und so für Auswertungen und Analysen benutzt werden.
CLI
Welche Kommandozeilen Basierte Kommandos stehen auf einem FortiAuthenticator zur Verfügung?
Auf einem FortiAuthenticator kann nachdem erfolgreichen Login anhand "help" der zur Verfügung stehenden Befehlsatz abgerufen werden:
> help
FortiAuthenticator Console
General:
help Display this text.
? Synonym for `help'.
exit Exit from the CLI.
Configuration:
show Show bootstrap configuration.
set Set configuration parameter (set <attribute> <value>).
Available attributes/values for set:
port1-ip <IP/netmask>
e.g. port1-ip 1.2.3.4/24
default-gw <IP>
date <YYYY-MM-DD>
time <HH:MM:SS>
tz <timezone_index>
e.g. tz 4
ha-mode <enable|disable>
ha-port <interface name>
ha-priority <high|low>
ha-mgmt-ip <IP/netmask>
e.g. ha-mgmt-ip 1.2.3.4/24
ha-mgmt-access <ssh|https|http|telnet>
e.g. ha-mgmt-access ssh http
ha-dbg-level <level>
levels: -4 (Fatal) -> 4 (Debug high), default: -2 (Warn)
unset Unset configuration parameter (unset <attribute>).
Available attributes for unset:
port1-ip
default-gw
ha-mgmt-ip
ha-mgmt-access
System:
reboot Reboot the FortiAuthenticator.
factory-reset Reformats harddisk and resets configuration to factory defaults.
shutdown Shutdown the FortiAuthenticator.
status Display system status information.
ha-rebuild Rebuild an HA node from the peer's database.
restore-admin Enable default admin access methods on port1.
Utilities:
dig Advanced tool for DNS debugging.
nslookup Basic tool for DNS debugging.
ping Test network connectivity to another network host.
tcpdump Examine local network traffic.
traceroute Examine route taken to another network host.
Diagnostics:
hardware-info Display general hardware status information.
disk-attributes Display system disk attributes.
disk-errors Display any system disk errors.
disk-health Display disk health information.
disk-info Display disk hardware status information.
raid-hwinfo Display RAID hardware status information.