FortiAuthenticator:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiAuthenticator:FAQ

Vorwort

Diese FAQ's sind für FortiAuthenticator Systeme basierend auf OS 3.x/4.x

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

License

Wie wird ein FortiAuthenticator unter VMware installiert?

Nachfolgender Aritkel gibt Auskunft wie ein FortiAuthenticator unter VMware installiert wird:

       Fortinet:Virtualisierung#Wie_installiere_ich_VMware_basierende_Fortinet_Produkte_wie_Fortigate.2C_FortiManager_und_FortiAnalyzer.3F

Wie wird eine License für FortiAuthenticator für VMware registriert und eingespielt?

Wenn man einen FortiAuthenticator für VMware ohne Lizenz installiert fällt einem auf, dass dieser über keine Serien Nummer verfügt! Diese Serien Nummer wird erst bei der Erstellung der Lizenz im Support Portal anhand der IPv4 Adresse erstellt. Dies bedeutet: Als Lizenz Lieferung erhält man zB folgendes Dokument:

       Datei:FACVM0001001.pdf

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung im Support Portal durchgeführt. Um die Registrierung anhand des "Registration Code" durchzuführen führe ein Login anhand Usernamen und Passwort durch auf dem Support Portal in dem der FortiAuthenticator registriert werden soll:

       http://support.fortinet.com
       Die nachfolgenden Abbildungen zeigen den Vorgang anhand eines FortiAnalyzer's dh. der Vorgang eines FortiAuthenticator's 
       unterscheidet sich nicht und ist identisch!
       
       Datei:Fortinet-212.jpg
       Datei:Fortinet-213.jpg
       
       In diesem Punkt muss nun die IPv4 Adresse definiert werden 
       Datei:Fortinet-214.jpg
       Datei:Fortinet-215.jpg
       
       Unter diesem Punkt kann nun das "License File" das auf dem FortiAuthenticator 
       eingespielt werden muss, runtergeladen werden!

Der Registrierungsprozess ist abgeschlossen und die Serien Nummer des FortiAuthenticators ist im License File enthalten. Das License File kann nun auf dem FortiAuthenticator unter folgender Position eingespielt werden:

       System > Administration > Licensing

Nachdem einspielen der License werden die Services des FortiAuthenticator neu gestartet. Nachdem neu eingeloggt wurde kann nun die Serial Nummer der Installation aus der folgenden Position eruiert werden:

       System > Dashboard > Staus > System Information > Serial Number 

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

Was sind für den FortiAuthenticator VMware basierend die System Requirements?

Der FortiAuthenticator für VMware hat folgendes System Requirements:

       Fortinet-996.jpg

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAuthenticator Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

       http://docs.fortinet.com/ (Legacy Link http://docs.fortinet.com/fauth.html)
       FortiAuthenticator 3.0
       Datei:FAC-3.0-What's-New.pdf                                                       (FortiAuthenticator 3.0 What's New Guide)
       Datei:Fac-admin-guide.pdf                                                          (FortiAuthenticator 3.0 Administration Guide)
       Datei:FortiAuthenticator REST API Solution Guide.pdf                               (FortiAuthenticator 3.0 REST API Solution Guide)
       
       Datei:FortiAuthenticator Agent for Microsoft Windows Admin Guide.pdf               (FortiAuthenticator 3.0 Agent For Windows Administration Guide)
       Datei:FortiAuthenticator Two-Factor Authentication Interoperability Guide.pdf      (FortiAuthenticator 3.0 Interoperability Guide)
       Datei:FortiAuthenticator Certificate Based SSL-VPN Solution Guide.pdf              (FortiAuthenticator 3.0 Certifcate Based SSL VPN Solution Guide)
       Datei:FortiAuthenticator Token Based SSL-VPN Solution Guide.pdf                    (FortiAuthenticator 3.0 Token Based SSL VPN Solution Guide)
       Datei:Fortiauthenticator-Radius-Accounting-SSO-Design-Guide.pdf                    (FortiAuthenticator 3.0 RADIUS Accounting with SSO for FortiOS 5.2.4 Design Guide)
       
       Datei:Allowing-SSO-access-with-FGT-and-FAC.pdf                                     (Allowing Single Sign-On access with a FortiGate and a FortiAuthenticator)
       FortiAuthenticator 3.1
       Datei:FAC-3.1-What's-New.pdf                                                       (FortiAuthenticator 3.1 What's New Guide)
       Datei:FortiAuthenticator REST API Solution Guide-31.pdf                            (FortiAuthenticator 3.1 REST API Solution Guide)
       Datei:FortiAuthenticator FAQ.pdf                                                   (FortiAuthenticator 3.1 FAQ)
       
       Datei:Fortiauthenticator-31-fortios-52-wireless-eap-tls-win7.pdf                   (FortiAuthenticator v3.1, FortiOS v5.2.0, and Windows 7 SP1 Wireless EAP-TLS Configuration)
       Datei:Fortiauthenticator-31-fsso-authentication-user-guide.pdf                     (FortiAuthenticator v3.1, FSSO (Fortinet Single Sign-On User Guide))
       Datei:Fortiauthenticator-two-factor-authentication-interoperability-guide.pdf      (FortiAuthenticator v3.1, Ineroperability Guide)
       FortiAuthenticator 3.2
       Datei:FAC-3.2-What's-New.pdf                                                       (FortiAuthenticator 3.2 What's New Guide)
       Datei:FortiAuthenticator REST API Solution Guide-32.pdf                            (FortiAuthenticator 3.2 REST API Solution Guide)
       Datei:Fortiauthenticator-32-fsso-authentication-user-guide.pdf                     (FortiAuthenticator v3.2, FSSO (Fortinet Single Sign-On User Guide))
       FortiAuthenticator 3.3
       Datei:FAC-3.3-What's-New.pdf                                                       (FortiAuthenticator 3.3 What's New Guide)
       
       Datei:FortiAuthenticator Agent for Microsoft Windows Admin Guide.pdf               (FortiAuthenticator 3.3 Agent For Windows Administration Guide)
       Datei:FortiAuthenticator Agent for Microsoft IIS & OWA - Install Guide.pdf         (FortiAuthenticator 3.3 Agent For Microsoft IIS & OWA Install Guide)
       FortiAuthenticator 4.0
       Datei:Fac-4.0-admin-guide.pdf                                                      (FortiAuthenticator 4.0 Administration Guide)
       Datei:FAC-4.0-What's-New.pdf                                                       (FortiAuthenticator 4.0 What's New Guide)
       Datei:FortiAuthenticator REST API Solution Guide-40.pdf                            (FortiAuthenticator 4.0 REST API Solution Guide)
       
       Datei:FortiAuthenticator Captive Portal Guide-40.pdf                               (FortiAuthenticator 4.0 Captive Portal Guide 1.0)
       Datei:Fac-radius-accounting-proxy-40.pdf                                           (FortiAuthenticator 4.0 RADIUS Accounting Proxy Configuration Guide)
       Datei:Fac-agent-for-ms-iis-owa-guide-40.pdf                                        (FortiAuthenticator 4.0 Agent for Microsoft IIS/OWA - Install Guide)
       Datei:Fac-agent-for-ms-windows-guide-40.pdf                                        (FortiAuthenticator 4.0 Agent for Microsoft Windows Administration Guide)
       Datei:Fac-certificate-based-ssl-vpn-guide-40.pdf                                   (FortiAuthenticator 4.0 Certificate Based SSL VPN Solution Guide)
       Datei:Fac-two-factor-guide-40.pdf                                                  (FortiAuthenticator 4.0 Two-Factor Authentication Agent for Windows)
       Datei:FortiAuthenticator FSSO Authentication User Guide.pdf                        (FortiAuthenticator 4.0 FSSO Authentication User Guide)
       Datei:FortiAuthenticator 4.0 Token-Based SSL VPN Solution Guide.pdf                (FortiAuthenticator 4.0 Token-Based SSL VPN Solution Guide)
       FortiAuthenticator 4.1
       Datei:Fac-4.1-admin-guide.pdf                                                      (FortiAuthenticator 4.1 Administration Guide)
       Datei:Fac-2Factor Auth Web Applications Guide.pdf                                  (FortiAuthenticator Two-Factor Authentication for Web Applications Solution Guide)
       Datei:FortiAuthenticator REST API Solution Guide-41.pdf                            (FortiAuthenticator 4.1 REST API Solution Guide)
       FortiAuthenticator 4.2
       Datei:Fac-4.2-admin-guide.pdf                                                      (FortiAuthenticator 4.2 Administration Guide)
       FortiAuthenticator 4.3
       Datei:Fac-4.3-admin-guide.pdf                                                      (FortiAuthenticator 4.3 Administration Guide)
       Datei:Fac-agent-for-ms-windows-guide-43.pdf                                        (FortiAuthenticator 4.3 Agent for Microsoft Windows Administration Guide)
       FortiAuthenticator 5.0.0
       Datei:FAC-Admin-Guide-5.0.0.pdf                                                    (FortiAuthenticator 5.0.0 Administration Guide)
       Datei:FAC REST API Solution Guide-5.0.0.pdf                                        (FortiAuthenticator 5.0.0 REST API Solution Guide)
       FortiAuthenticator 5.1.0
       Datei:FAC-Admin-Guide-5.1.0.pdf                                                    (FortiAuthenticator 5.1.0 Administration Guide)
       FortiAuthenticator 5.1.1
       Datei:FAC-Admin-Guide-5.1.1.pdf                                                    (FortiAuthenticator 5.1.1 Administration Guide)
       FortiAuthenticator 5.2.0
       Datei:FAC-Admin-Guide-5.2.0.pdf                                                    (FortiAuthenticator 5.2.0 Administration Guide)
       FortiAuthenticator 5.4.0
       Datei:FAC-Admin-Guide-5.4.0.pdf                                                    (FortiAuthenticator 5.4.0 Administration Guide)
       Datei:FAC-REST API-SolutionsGuide-5.4.0.pdf                                        (FortiAuthenticator 5.4.0 REST API Solution Guide)
       FortiAuthenticator 5.5.0
       Datei:FAC-Admin-Guide-5.5.0.pdf                                                    (FortiAuthenticator 5.5.0 Administration Guide)

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       http://pub.kb.fortinet.com/index/

Hardware

Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer FortiAuthenticator Hardware?

Weitere Informationen siehe folgender Artikle:

       FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F

Upgrade

Wie kann ich auf einem FortiAuthenticator ein Upgrade durchführen?

Ein FortiAuthenticator lässt sich über das Mgmt. Web Interface auf den neusten Stand bringen. Für einen kompletten upgrade kann folgendermassen vorgegangen werden:

Menuführung Beschreibung
Fortinet-1902.jpg Über das Support Portal von Fortinet https://fortinet.support.ch kann die entsprechende Software heruntergeladen werden. Nach dem Einloggen auf Download -> Firmware Images gehen. Bei Select Product den FortiAuthenticator auswählen. Nun kann über Download die entsprechende Firmware heruntergeladen werden. Im Tab Release Notes kann noch das aktuelle Release Note File heruntergeladen werden. Wir empfehlen vor einem Upgrade diese genau zu studieren. Die Release Notes geben auch Aufschluss wie der Upgrade Pfad eingehalten werden muss.
Fortinet-1903.jpg Hier kann die entsprechende Datei zum gewünschten Produkt heruntergeladen werden. Über den https Link bekommt man die Datei, über Checksum kann die Checksume der Datei vergliechen werden.
Fortinet-1901.jpg Auf dem FortiAuthentikator kann über das Menu System -> Status das Widget System Information der Link [Upgrade] die gewünschte Firmware hochgeladen werden.
Fortinet-1904.jpg Die entsprechende Datei auswählen und mit OK wird der Upload gestartet
Fortinet-1905.jpg Es gibt noch eine Sicherheitsabfrage, ob man die Datei wirklich hochladen will. OK für zum hochladen, mit Cancel wird das ganze abgebrochen.
Fortinet-1906.jpg während des Uploads erfolgt eine Meldung, dass dieser Vorgang nicht unterbrochen werden soll.
Fortinet-1907.jpg sobald das Image hochgeladen ist, gibt es die Möglichkeit noch ein Backup der Konfiguration zu machen. Es empfiehlt sich, diese Funktion zu nutzen. Nach dem Backup kann der Button Start Upgrade angewählt werden und der Upgrade wird gestartet. Es kann auch vorgängig ein manueller Backup durchgeführt werden. weitere Infos gibt es hier :
FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_ein_Backup.2FRestore_ausf.C3.BChren.3F
Fortinet-1908.jpg Während des Upgrades, wird eine Meldung angezeigt, dass der Prozess am Laufen ist. Nach erfolgreichem Upgrade wird der FortiAuthentikator automatisch neu gestartet. Nach dem Reboot ist der FortiAuthentikator auf der neuen Version wieder Einsatzbereit.
       NOTE Zusätzlich wenn von der Version 2.x ein Upgrade auf 3.x durchgeführt wird muss folgende Information berücksichtigt werden:
       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_VMware_basierenden_FortiAuthenticator_2.0_MR2_.282.2.2.29_ein_Upgrade_auf_Version_3.0_durchf.C3.BChren.3F

Vor dem Upgrade ist es wichtig die entsprechenden Release Notes zu lesen und studieren:

Release Notes 5.0
* Datei:FAC-ReleaseNotes-5.0.0.pdf
Release Notes 5.1
Release Notes 5.2
Release Notes 5.4
Release Notes 5.5

Wie kann ich für einen VMware basierenden FortiAuthenticator 2.0 MR2 (2.2.2) ein Upgrade auf Version 3.0 durchführen?

Nein dies ist so direkt nicht möglich Im Gegensatz zur Hardware (Upgrade möglich ab 2.0 MR2 Patch 2 resp. 2.2.2) Variante des FortiAuthenticators dh. der Grund liegt in der Re-Partitionierung der VMware Variante unter 3.0. Dies bedeutet: Eine FortiAuthenticator VMware Installation tiefer als 2.2.3 (2.0 Patch 3) verfügt nicht über die benötigte Partitionierung für ein Upgrade auf 3.0. Dies wiederum bedeuet Folgendes:

       Bevor ein Upgrade auf 3.0 durchgeführt wird, muss auf "jedenfall" ein Upgrade durchgeführt werden auf Relese 2.2.3

Die Version 2.2.3 (2.0 Patch 3) enthält keine neuen Features etc. sondern wurde nur released um der Re-Partitionierung der Version 3.0 Rechnung zu tragen dh. um ein Upgrade auf 3.0 zu ermöglichen! Für weitere Informationen zum Upgrade Prozedere betreffend VMware Variante siehe:

       Datei:FortiAuthenticator-3.0-Release-Notes.pdf
       Datei:FortiAuthenticator-v2.0-MR2-Patch-Release-3-Release-Notes.pdf

Was bedeutet die Popup Meldung beim Einloggen vom FortiAuthentikator?

In den letzten Tagen wird folgende Popup Meldung angezeigt, wenn man sich in den FortiAuthentikator einloggt. Diese Meldung darf auf keinen Umständen ignoriert werden:

Fortinet-1884.jpg

Diese Meldung fordert auf, dass man ein Upgrade machen soll.

Dieses Upgrade auf 5.1 ist notwendig, um ein neues Zertifikat für die Apple Push-Dienste zu erhalten. Wenn dieses Zertifikat nicht erneuert wird, wird die Push-Authentifizierung nicht mehr funktionieren, wenn das aktuelle Zertifikat abgelaufen ist.

  • FAC 4.3.3 Das Zertifikat wird Ordnungsgemäss aktualisiert
  • FAC 5.1.0 Wird mit dem neuen Zertifikat ausgeliefert, aktualisiert sich aber auch selber über das Netzwerkpaket.

Das Upgrade muss bis zum 27.November 2017 durchgeführt werden, damit eine Unterbrechung des Push Benachrichtigungsdienstes vermieden werden kann.

Setup

Was sind die "Maximum Values" eines FortiAuthenticator?

Die Maximum Values eines FortiAuthenticator sind die folgenden:

       Hardware
       Fortinet-957.jpg
       Fortinet-958.jpg
       
       Datei:Fortinet-962.jpg
       Datei:Fortinet-963.jpg
       Virtual Machine
       Datei:Fortinet-959.jpg
       Datei:Fortinet-960.jpg
       
       Datei:Fortinet-961.jpg

Welche Open Ports benützt ein FortiAuthenticator?

Ein FortiAuthenticator benützt für dessen Komunikation zB im Zusammenhang mit Radius TCP Port 1812. Nachfolgendes Dokument zeigt die Open Ports die für Fortinet Produkten wie der FortiAuthenticator benutzt werden:

       Datei:FortinetOpenPorts.pdf
       Datei:Fortigate-Open-Ports-54.pdf

Nachfolgendes Diagramm zeigt die Open Ports unter FortiOS 5.4. Dieses Diagramm stammt aus dem Handbook FortiOS 5.4:

       Fortinet-2047.jpg

Wie wird ein FortiAuthenticator auf VMware installiert?

Der FortiAuthenticator für VMware wird andhand eines .ovf Files (Deployable Open Virtualization Format) installiert. Für eine Grundinstallation wird das "ovf.zip" File benutzt und nicht das .out File. Das .out" File wird ausschliesslich für Upgrades benutzt. Weitere Informationen und Dokumente betreffend Virtualisierung und Installation findet man auf folgender Seite:

       Fortinet:Virtualisierung

Was muss ich betreffend FortiAuthenticator im Zusammenhang mit einer Two-Factor Authentication beachten?

Wenn Two-Factor Authentication eingesetzt wird mit dem FortiAuthenticator, ist die Kompatibilität zu anderen Fortinet Produkten und/oder Fremdprodukten zu berücksichtigen. Der Grund sind die API's die auf Fortinet Produkten resp. Fremdprodukten zur Verfügung stehen müssen! Dies bedeutet wenn ein User für eine Two-Factor Authentication konfiguriert ist, und Username und Passwort absetzt, muss das API für die Two-Factor Authentication auf dem entsprechenden Produkt (sei es Fortinet und/oder Fremdprodukt) existieren sowie korrekt angesprochen werden resp. ausgelöst werden. Ist diese API nicht vorhanden und/oder wird diese nicht korrekt angesprochen kann keine Two-Factor Authentication durchgeführt werden. Nachfolgende Tabelle gibt eine Uebesicht über Fortinet und/oder Fremdprodukten:

       Fortinet-997.jpg

Weitere Auskunft über Kompatiblität gibt der "Interoperability Guide". Dazu siehe folgender Artikel:

       FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F

Wie kann ich für einen FortiAuthenticator die Grundkonfiguration betreffend Netzwerk durchführen?

Nach der Installation des FortiAuthenticator kann anhand des User "admin" über die Konsole eingeloggt werden. Per Standard ist kein Passwort gesetzt:

       FortiAuthenticator login: admin
       Password:
       Welcome to the FortiAuthenticator!
       > 

Ein FortiAuthenticator verfügt nicht über das übliche FortiOS wie zB eine FortiGate dh. der Befehlsatz ist minimiert auf das noetigste. Nachfolgender Artikel gibt Auskunft was in diesem Befehlsatz resp. Kommandozeile zur Verfügung steht:

       FortiAuthenticator:FAQ#Welche_Kommandozeilen_Basierte_Kommandos_stehen_auf_einem_FortiAuthenticator_zur_Verf.C3.BCgung.3F

Anhand dieser Kommandos kann nur die Grundkonfiguration des Netzwerkes durchgeführt werden:

      > set port1-ip 192.168.1.40/24
      > set default-gw 192.168.1.1

Nun kann man auf das Mgmt. WebInterface zugreifen:

      https://192.168.1.40/

Wie kann ich den Hostnamen eines FortiAuthenticators konfigurieren?

Der Hostnamen für den FortiAuthenticator konfiguriert man unter folgender Position:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x:

Config webgui.png Konfiguration im WebGui FortiOS 6.x:

Im Menu System > Dashboard > Status > System Information > Host Name auf [Change] klicken um den Hostname zu editieren

Fortinet-1030.jpg
Fortinet-2711.jpg
Fortinet-1031.jpg
Fortinet-2712.jpg

Für diese Position darf nicht der FQDN definiert werden sondern nur der "hostname". Der DNS Domain Name resp. der FQDN wird unter folgender Position konfiguriert:

Wie kann ich den FQDN (Fully Qualified Domain Namen) eines FortiAuthenticators Konfigurieren?

Der DNS Domain Name oder auch FQDN des FortiAuthenticator wird unter folgender Position konfiguriert:

       System > Dashboard > Status > System Information > DNS Domain Name
       Fortinet-1032.jpg
       Fortinet-1033.jpg

Nach der Konfiguration des FQDN wird der FortiAuthenticator Service neu gestartet! Diese Definition des FQDN wird im Hintergrund für einige Konfigurationen benutzt. Ein Beispiel wo dieser FQDN benutzt wird ist das Self-Service Portal:

       Authentication > Self-service Portal > General > Site Name

Im Zusammenhang mit dem FQDN des FortiAuthenticators ist nachfolgenden Position ebenfalls wichtig dh. Soll der FortiAuthenticator zusätzlich mit einem anderen FQDN Namen versehen werden für einen zustätzlich Funktion und/oder Service, muss dieser zusätzliche FQND Name unter folgender Position definiert werden:

       System > Administration > [GUI Access / System-Access] > Addtional allowed hosts/domain names
       Fortinet-2156.jpg

Wie kann ich die Timezone sowie Timeserver (NTP) auf einen FortiAuthenticator konfigurieren?

Der Zeitzone sowie im generellen der Zeit kommt bei einem Radius Server eine wichtige Funktion zu, speziell wenn die Funktion des "Accounting" benutzt wird. Dies bedeutet: Radius Server und Radius Client zB FortiGate müssen über die gleichen Zeitinformationen verfügen respektive Timeserver benutzen um sicherzustellen, dass die Zeit auf beiden Devices, dasa heisst Radius Server und Clients synchron laufen! Die Zeitzone sowie die Definition eines Timeserver kann über folgende Position konfiguriert werden:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:

Im Menu System -> Dashboard -> Status -> System Information -> System Time auf [Change] klicken um die Zeiteinstellung zu editieren

Fortinet-1034.jpg
Fortinet-2713.jpg
Fortinet-1035.jpg
Fortinet-2714.jpg

Wie kann ich die DNS Server auf einem FortiAuthenticator konfigurieren?

Die DNS Server die der FortiAuthenticator benützt, werden folgendermassen konfiguriert:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:

Im Menu System > Network > DNS können die DNS Server Einstellungen vorgenommen werden.

Fortinet-1002.jpg
Fortinet-2715.jpg
Achtung.jpg

Die im Zusammenhang stehenden DNS Server die benutzt werden zum Beispiel für Radius Agents/Clients sollten für deren DNS Auflösung über die nötigen Einträge respektive minimum über einen "A record" verfügen!

Wie wird eine statische Route auf dem FortiAuthenticator konfiguriert?

Statische Routing Einträge respektive das Routing wird über folgende Position konfiguriert werden:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:

Im Menu SSystem > Network > Static Routing > Create New wird eine neue Route konfiguriert.

Fortinet-1003.jpg
  1. Netz welches geroutet wird eintragen
  2. Interface auswählen, auf welchem das Netz erreichbar ist.
  3. Gateway IP Adresse auf welches das Netz geroutet werden soll, eintragen.
Fortinet-2716.jpg

Wie kann ich für einen FortiAuthenticator den Management Access sowie Service Access Konfigurieren?

Ein FortiAuthenticator ist im Grundsatz ein Radius Server. Ein Radius Server benötigt Grundsätzlich zwei Services:

       • Radius Auth UDP/TCP 1812 (Old Radius 1645)
       • Radius Accounting UDP/TCP 1813

Zusätzlich zu den Management Access Ports kann der FortiAuthenticator auch mit zusätzlichen Services/Funktionen betrieben werden wie zB als ActiveDirectory/LDAP Server. Diese zusätzlichen Services/Funktionen benötigen zusätzliche Service Ports die über das entsprechende Interface aktiviert oder deaktiviert werden können:

       Fortinet-998.jpg

Es ist zu empfehlen sämtliche nicht benötigten Services sowie Management Access zu daktivieren!

Welche Verschlüsselungs Methoden werden durch einen FortiAuthenticator benutzt?

Basierend auf Version 3.3 und höher unterstützt der FortiAuthenticator folgende Verschlüsselung im SSL Bereich:

       • Für Management wird per Standard TLSv1 benutzt sowie zusätzlich "Industry Standard Server Side TLS" (Mgmt. Certificate PEAP/TTLS/TLS) 
       • Für Certificate: 4098bit RSA keys mit SHA-1 / SHA-256 Hash

Wie kann ich auf einem FortiAuthenticator einen eigenen Diffie-Hellmann Parameter Konfigurieren und Wieso?

Für den FortiAuthenticator können eigenen Diffie-Hellman Parameter erstellt werden. Dabei ist Wichtig zu verstehen um was es beim Diffie-Hellman Parameter geht. Im nachfolgenden Beispiel wird dies erklärt anhand einer "Asymmetrisch" "[Public Key Cryptography]" Verchlüsselung. Diese Verschlüsselung basiert im Grundsatz anhand einem "private" Key und einem darauf basierenden "public" Key. Alles beginnt mit dem "privaten" Schlüssel (Private Key). Aus diesem wird der "öffentliche" Schlüssel (Public Key) erzeugt und kann jeder Zeit wiederhergestellt werden. Daten die mit einem "Public-Key" verschlüsselt weren können nur mit dem korrespondierenden "Private-Key" entschlüsselt werden. Die Übermittlung von verschlüsselten Daten beruht darauf, dass die Daten mithilfe des "öffentlichen" Schlüssels (Public Key) des Empfängers "verschlüsselt" werden, so dass nur noch der Empfänger in der Lage ist, den Klartext zu ermitteln. Denn nur er befindet sich im Besitz des passenden "privaten" Schlüssels (Public Key).

       Zertifikate-1085.jpg

In diesem Verfahren gibt es einen Umstand dem Rechnung zu tragen im Zusammenhang mit Diffie-Hellman. Formal besteht ein "Public-Key-Verschlüsselungsverfahren" aus drei Algorithmen:

       • Der Schlüsselerzeugungsalgorithmus erzeugt zu einem gegebenen Sicherheitsparameter (2048bit, 4096bit) ein Schlüsselpaar,
         das aus einem öffentlichen (Oeffentlicher Keyer "public) und dem dazugehörigen geheimen Schlüssel (Privater Key "private") besteht.
       • Der Verschlüsselungsalgorithmus erzeugt aus einem Klartext unter Verwendung des öffentlichen Schlüssels einen Geheimtext (Cyphertext).
       • Der Entschlüsselungsalgorithmus berechnet zu einem Geheimtext (Cyphertext) unter Verwendung des geheimen Schlüssels den passenden Klartext.

Das Problem: Bei der Daten-Übertragung mittels SSL/TLS werden mit einem Langzeitschlüssel (pub-priv-key) sogenannte Sitzungsschlüssel für jede Session erzeugt (Session-keys). Hat ein Angreifer Zugriff auf den Langzeitschlüssel so können sämtliche vergangenen Sitzungsschlüssel errechnet werden und somit die gesamte Kommunikation entschlüsselt werden. Dies wird durch Perfect Forward Secrecy (PFS) unterbunden. Ein möglicher Angreifer kann trotz Kenntnis des Langzeitschlüssels keinerlei Rückschlüsse auf die ausgehandelten Sitzungsschlüssel ziehen. Bei TLS wird dies dadurch erreicht, dass der Langzeitschlüssel zu einem Signaturverfahren gehört und nur benutzt wird, um Kurzzeitschlüssel zu signieren. Mit diesen wird jeweils durch einen Diffie-Hellman-Schlüsselaustausch ein Sitzungsschlüssel ausgehandelt. Wird ein Server kompromittiert, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel gerade aktiver Verbindungen. Die Sitzungsschlüssel zurückliegender Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren. In diesem Verfahren werden sogenannte Diffie-Hellmann-Parameter (auch Diffie-Hellmann-Group) verwendet. Eine DH-Group ist eine Liste von langen Primzahlen welche für das PFS-Verfahren verwendet werden. Bis vor kurzem galten diese Listen als sicherheits-unkritisch und wurden aus diesem Grund vom Hersteller "vorberechnet" und ausgeliefert. Somit verwenden tausende Rechner die gleichen Listen. Seit kurzem steht dieses Verfahren unter Kritik und es wird empfohlen eigene DH-Groups/Params zu erzeugen. Siehe auch im Allgemeinen nachfolgenden Link:

       https://weakdh.org/sysadmin.html

Diesem Umstand kann abgeholfen werden dh. wir können unsere eigenen "DH" Parameter auf dem FortiAuthenticator erstellen. Nachfolgend ein Beispiel wie ein DH Parameter unter Linux (CentOS) anhand "openssl" erstellt sowie auf den FortiAuthenticator geladen werden kann:

       # mkdir /opt/DH-Param
       # chmod 700 /opt/DH-Param
       # chown root:root /opt/DH-Param 
       # cd /opt/DH-Param

Nun erzeuge einen "256bit" langen "DH" Parameter:

       # openssl genpkey -genparam -algorithm DH -pkeyopt dh_paramgen_prime_len:2048 -out dh2048.pem
       # openssl genpkey -genparam -algorithm DH -pkeyopt dh_paramgen_prime_len:4096 -out dh4096.pem

Nach der Erzeugung kann der "DH" Parameter ebenfalls mit folgenden Kommando als "text ausgegeben werden:

       # openssl pkeyparam -text -in dh2048.pem
       # openssl pkeyparam -text -in dh4096.pem

Wenn diese Files über ein Linux zB CentOS selbst erstellt worden sind können diese über einen TFTP Server zum FortiAuthenticator raufgeladen werden:

       # dhparam-load tftp [TFTP Server IPv4 Adresse] [File Name zB dh2048.pem]

Es kann ebenfalls FTP benutzt werden um das "DH" File auf den FortiAuthenticator zu laden:

       # dhparam-load ftp [FTP Server IPv4 Adresse] [Filen Name zB dh2048.pem] [FTP User Name] [FTP Passwort]$

Diesen Diffie-Hellmann Parameter kann auch direkt auf dem FortiAuthenticator in der Bit Anzahl 2048 bis 8192 erstellt werden. Dabei ist jedoch zu berücksichtigen, dass dieses Erstellen des "DH" Parameters Resourcen Intensiv ist:

       # dhparam-regen [von 2028 bis 8192]

Nachfolgend ein Beispiel für die Erstellung des "DH" Parameter:

       # dhparam-regen 2048 2048
       The DH paramaters generated will range between 2048 and 2048 bits.
       
       This command may take hours/days to run, consuming a great deal of CPU time.
       Do you want to continue? (y/n)y
       Generating 2048-bit DH parameter 1 of 4... (This may take a while)
       Generating 2048-bit DH parameter 2 of 4... (This may take a while)
       Generating 2048-bit DH parameter 3 of 4... (This may take a while)
       Generating 2048-bit DH parameter 4 of 4... (This may take a while)

Wie gesagt dies kann einige Zeit in Anspruch nehmen. Möchten man den Standard Zustand des "DH" Parameters auf dem FortiAuthenticators wiederherstellen kann folgendes ausgeführt werden:

       # dhparam-default

RSSO (Radius Single-Sign-On)

Wie kann ich für einen FortiAuthenticator ein RSSO (Radius Single-Sing-On) Konfigurieren?

Ab FortiAuthenticator 3.0.1 kann ein Radius Single-Sign-On für eine FortiGate konfiguriert werden. Dabei kann ein vorhandenes Active Directory in den FortiAuthenticator eingebunden und anhand diesem und dem Radius Server ein RSSO basierend auf dem Polling Mode konfiguriert werden. Weitere Informationen siehe nachfolgenden Artikel:

       FortiGate-5.0-5.2:FAQ#Kann_ich_f.C3.BCr_eine_FortiGate_.C3.BCber_Radius_mit_LDAP_Anbidung_ein_Single-Sign-On_konfigurieren_.28RSSO.29.3F

Token

Welche Token Art kann ich im Zusammenhang mit einem FortiAuthenticator einsetzen?

Basierend auf FortiAuthentcator Version 3.1 oder höher unterstützt dieser folgende Token Arten:

       • Physischer Token: FortiToken 200 OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden
         Intervall und benützen einen 6 Zeichen Code.
       • Physischer Speicher Token: FortiToken 300; Dieser PIN geschützte Token basiert auf einem x.509 Zertifikat
         geschützten USB Speicher. Der Speicher unterstützt PKCS#11 Protokolle. Wird hauptsächlich benützt im IPSec/SSL 
         VPN Bereich um Zertifikat basierende Authentifizierung zu schützen.
       • Software Token: FortiToken Mobile OATH Kompatibel TOTP (RFC 6238). Diese Token benützen einen 30 - 60 Sekunden
         Intervall und benützen einen 6 -8 Zeichen Code sowie unterstützen IOS und Android Geräte.
       • Ohne Token: Email und SMS "event" basierender Token

Wie Funktionert eine Zeitbasierende TOTP (Open TOTPO Standard) Two-Factore Authentifizierung auf einem FortiAuthenticator?

Wenn der Token wie zB FortiToken 200 benützt wird so benützt dieser den "Open TOTP Standard" definiert in RFC 6238. Nachfolgend eine Uebersicht wie dies genau funktioniert:

       Fortinet-1121.jpg

In welcher Art und Wo werden für einen FortiAuthenticator die benützen Tooken Seeds gespeichert?

Den Token Seeds kommt eine wichtige Rolle zu. Fortinet Tooken Seeds werden folgendermassen seitens Fortinet Verarbeitet/Gespeichert: Fortinet schützt die Token Seeds auf verschiedene Art und Weise. Die FortiToken zB FortiToken 200 mit deren Informationen resp. Seeds werden Initial in der FortiCare/FortiGuard Datenbank gespeichert. Wenn diese FortiToken 200 über den FortiAuthenticator und/oder FortiGate registriert werden so werden die Seeds aus der FortiCare/FortiGuard Datenbank entfernt. Dies wird durchgeführt um das Risiko zu minimieen, dass diese Seeds zukünftig kompromitiert werden. Im Hintergrund wird jedoch durch die Registrierung anhand der Serial Nummer auf dem Device dh. FortiAuthenticator/FortiGate der FortiToken mit dem Device registriert und somit kann der FortiToken nicht zusätzlich auf einem anderen Device zB FortiGate registriert werden. Möchte man einen FortiToken auf einem neuen Device sei es FortiGate/FortiAuthenticator registrieren, muss dieser "re-provisioned" werden dh. es benötigt ein Tecnical Support Ticket um in der FortiCare/FortiGuard Database diesen FortiToken (Seed) erneut zu speichern. Dazu wird eine Offline Kopie des Token benutzt da durch die Erst-Registrierung der Seed aus der Datenbank von FortiCare/FortiGuard gelöscht wurde. Somit wird ein FortiToken 200 Seed nur bis zur Registrierung in der Datenbank von FortiCare/FortiGuard gespeichert. Ein FortiToken Mobile wird in der Datenbank von FortiCare/FortiGuard resp. dessen Seed solange gespeichert, bis der Seed runtergeladen wurde. Ist dies der Fall, wird ebenfalls dieser Seed aus der Datenbank von FortiCare/FortiGuard gelöscht. Es ist möglich diesen Vorgang der Speicherung des Seed's in der FortiCare/FortiGuard Datenbank zu konfigurieren. Wenn für "Enterprise" Kunden dieser oben beschriebene Weg aus Sicherheitsgründen kein Weg darstellt da der Seed in der Datenbank von FortiCare/FortiGuard gespeichert wird, kann der Kunde folgendes Produkt beziehen:

       FTK200CD-X (Anzahl 10, 20, 50 100)

Bei dieser offiziellen SKU von Fortinet handelt es sich um eine FortiToken 200 CD die deren "Seed's" verschlüsselt enhält und somit nicht in der FortiCare/FortiGuard Datenbank gespeichert werden! Es besteht ebenfalls die Möglichkeit bei sehr grossen Umgebungen das "self-provisioning" der Tokens selbst durchzuführen. Dazu benötigt man jedoch das "Provisioning Tool" von Fortinet. Dieses Provisioning Tool ermöglicht es zufällige Seed's selbst zu erstellen. Für ein allfäliges Pricing und minium Volumen muss Fortinet kontaktiert werden.

Wo kann ich eine Policy für FortiTokens (TOTP/HOTP/) auf eine FortiAuthenticator Konfigurieren?

Im Zusammenhang mit FortiTokens wird TOTP benutzt dh. "One-Time-Password" sowie HOTP dh. "HMAC-Based One-Time-Password". HTOP basiert auf TOTP und beide besitzen ein "authentication window" sowie "sync window size". Ab FortiAuthenticator 4.2 können diese Werte für FortiToken Konfiguriert werden unter folgender Position:

       Authentication > User Access Policies > Tokens > FortiTokens
       Fortinet-2196.jpg

Desweiteren kann für ein Token über SMS und/oder SMTP ein entsprechendes Token Timeout Konfiguriert werden. Weitere Informationen siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wo_kann_ich_auf_einem_FortiAuthenticator_das_Token_Timeout_f.C3.BCr_einen_SMS.2FSMTP_Gateway_Konfigurieren.3F

User

Wie kann ich auf einem FortiAuthenticator das Passwort des User "admin" Konfigurieren?

Das Passwort für den User "admin" kann unter folgender Position gesetzt werden:

       Authentication > User Management > Local Users > admin
       Fortinet-1000.jpg

Wenn das Passwort des User "admin" nicht mehr bekannt ist kann anhand der "admin-maintainer" eingeloggt werden dh. Nachdem der FortiAuthenticator neu gestartet wurde und das Login erscheint kann 2 Minuten anhand des User "maintainer" eingeloggt werden:

       Login: maintainer
       Password: [Serien Nummer des FortiAuthenticator zB "FAC-VM0A13000319"]

Das Passwort des User "admin" kann nicht über CLI gesetzt werden jedoch kann dieses anhand "restore-admin" zurückgesetzt werden:

       > restore-admin
       Trusted management subnets of administrator "admin" habe been cleared.
       No need to restore administrator access to Port 1.
       Default administrator account "admin" has been restored:
               Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
               Please remember to change the password.

Wie kann ich auf einem FortiAuthenticator für den User "admin" den Management Access Konfigurieren?

Der User "admin" kann über ein entsprechend konfiguriertes Interface Zugriff auf das Mgmt. Web Interface oder SSH erlangen. Dieser Access kann über folgende Position konfiguriert werden:

       Network > Interfaces > [Wähle das entsprechende Interface zB "port1"]
       Fortinet-999.jpg

Auf der CLI steht zusätzlich folgendes Kommando zur Verfügung um den Access auf port1 sowie das Passwort für den User "admin" auf Standard zurücksetzt:

       > restore-admin
       Trusted management subnets of administrator "admin" habe been cleared.
       No need to restore administrator access to Port 1.
       Default administrator account "admin" has been restored:
               Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
               Please remember to change the password.

Wie kann ich auf einem FortiAuthenticator den RESTful API Access Konfigurieren?

Der FortiAuthenticator beinhaltet ein RESTful API dh. über dieses lässt sich der FortiAuthenticator in verschiednen Aspekten direkt ansprechen und Kommandos ausführen. Fortinet stellt für dieses RESTful API für den FortiAuthenticator ein entsprechendes Dokument zur Verfügung das erklärt was zur Verfügung steht und wie das RESTful API anzuwenden ist. Weitere Informationen dazu siehe nachfolgender Artikel:

      FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F

Bis FortiAuthenticator 4.1 war es nicht möglich den Zugriff für dieses RESTful API einzuschränken. Ab FortiAuthenticator 4.2 steht diese Konfiguration nun zur Verfügung über folgenden Menüpunkt:

       System > Administration > System-Access > RESTful API access
       Fortinet-2192.jpg

Wie kann ich auf einem FortiAuthenticator für den User "admin" das Timeout Konfigurieren?

Das Timeout für das Mgmt. Web Interface wird unter folgender Position konfiguriert:

       System > Administration > [GUI Access / System-Access] > Idle timeout
       Fortinet-1001.jpg

Wie kann ich auf einem FortiAuthenticator für den User "admin" den Zugriff für TrustedHosts Konfigurieren?

Wenn sich ein FortiAuthenticator mit seinem Interface in einem DMZ befindet, kann der Zugriff auf das Mgmt. Web Interface zB über HTTPS über eine vorhandene Firewall mit eintsprechender Policy Rule eingeschränkt werden. Befindet sich jedoch der FortiAuthenticator im LAN Segmment kann dies nicht mehr bewerkstelligt werden da der Traffic für HTTPS nicht mehr über die Firewall kontrolliert werden kann. Ab FortiAuthenticator 3.1 ist es möglich für den entsprechenden User zB User "admin" und über dessen Funktion "trusted management subnets" eine ACL (Access Control List) zu konfigurieren:

       Authentication > User Management > Local Users > User Role > Restrict admin login from trusted management subnets only
       Fortinet-2157.jpg

Diese Positon steht nur dann zur Verfügung, wenn der entsprechende User betreffend "Role" als Administrator konfiguriert wurde! Auf der CLI steht zusätzlich folgendes Kommando zur Verfügung um dieses "trusted management subnets" zurück zu setzen. Dabei wird jedoch nicht nur dieses "trusted management subnets" zurückgesetzt sondern ebenfalls der konfigurierte Mgmt. Access auf port1 wie zB HTTPS sowie das Passwort für den User "admin":

      > restore-admin
      Trusted management subnets of administrator "admin" habe been cleared.
      No need to restore administrator access to Port 1.
      Default administrator account "admin" has been restored:
              Password is set to blank, admin has full permissions, and any trusted management subnet restrictions is removed.
              Please remember to change the password.

Gibt es auf einem FortiAuthenticator für die User Informationen die Möglichkeit zusätzlich Felder zur Verfügung zu stellen?

Wenn ein User oder Users Lokal erfasst werden kann es Sinnvoll sein, zusätzliche Felder zur Verfügung zu haben um spezfische Informationen für die User zu erfassen wie zB Abteilung, Lokation usw. Auf dem FortiAuthenticator stehen für solche Zwecke drei Felder zur Verfügung die mit einem eigenen Namen versehen werden können. Diese Felder werden nach der Vergabe der Namen/Bezeichnung unter "User Information" angezeigt. Die drei Felder müssen vorgängig definiert werden unter folgender Position:

       Fortinet-1017.jpg
       Fortinet-1018.jpg
       Fortinet-1019.jpg

Wie kann ich auf einem FortiAuthenticator eine Gruppe erstellen und diese für einen Radius Client Konfigurieren?

Nun die Gruppierung innerhalb des FortiAuthenticator kommt eine wichtige Funktion zu dh. wenn ein Radius Client (zB eine FortiGate) erfasst wird so ist die Standard Konfiguration für diesen Radius Client die folgende:

       Authentication > RADIUS Service > Clients
       Fortinet-1037.jpg

Wenn zB auf dem FortiAuthenticator ein Radius Client (FortiGate) konfiguriert wird für Lokale User auf dem FortiAuthenticator und diese Lokalen User im Zusammenhang mit einer Gruppe auf dem FortiAuthenticator benutzt wird so stellt diese Konfiguration keine Probleme dar. Dies bedeutet: Im nachfolgenden Beispiel existieren in der Gruppe "gr_alsochllu-sg0e0_ssl_vpn" Lokale User des FortiAuthenticator und benützten "two-factor authentication" für SSL-VPN auf dem Radius Client resp. auf der FortiGate:

       Fortinet-2158.jpg

Somit für Realm "local | Local users" wird ein Filter benutzt dh. die Gruppe "gr_alsochllu-sg0e0_ssl_vpn" und sofern möglich eine "two-factor authentication" ausgeführt. Als Realm dh. als "Username input format" muss kein Realm benutzt werden da es sich um den Standard Realm "local | Local users" handelt. Möchte man nun eine weitere Gruppe hinzufügen zB "gr_sg0e0_dmz0_wirless" für eine WPA2-Enterprise Authentifizierung für den gleichen Radius Client (FortiGate) muss für die Unterscheidung ein Realm benutzt werden da ansonsten der FortiAuthenticator die Gruppen und Authentifizierungs Methoden nicht mehr unterscheiden kann. Somit muss an erster Stelle ein Realm konfiguriert werden:

       User Management > Realms > Create New
       Fortinet-2160.jpg

Wird ein Realm benutzt im Zusammenhang mit ActivDirectory muss dieser vorgängig unter folgender Position erfasst werden:

       Authentication > Remote Auth. Servers > LDAP > Create New

Nachträglich steht dieser neue "Remote Auth Servers" dh. LDAP unter Realm für die Position " User source" zur Verfügung und somit wird der REALM mit dem "Remote Auth Server" LDAP Verknüpft. Das Gleiche wird mit der Gruppe durchgeführt dh. wurde vorgängig ein "Remote Auth Server" zB LDAP konfiguriert kann dieser mit der entsprechenden Gruppe Verknüpft werden:

       Authentication > User Groups > Create New
       Fortinet-2161.jpg

Danach kann der neue Realm der mit dem "Remote Auth Servers" LDAP Verknüpft wurde innerhalb der Radius Client (FortiGate) Konfiguration benutzt werden um diesen mit der entsprechenden Gruppe zu Verknüpfen:

       Fortinet-2159.jpg

Somit können verschiedenen Authentifizierungs Methoden anhand verschiedener Gruppen für Lokale User oder Remote Auth Servers resp. LDAP anhand des Realms für den gleichen Radius Client (FortiGate) unterschieden werden. Wie schon erwähnt muss der User der ein Login durchführt bei dem Standard Realm "local | Local users" keine Angaben des Realms durchführen. Für alle anderen Realms muss der User beim Login den entsprechenden Realm mitgeben anhand der Konfiguration innerhalb des Radius Client der Position "Username input format".

Wie kann ich auf einem FortiAuthenticator für die User eine Account Policy Konfigurieren?

Auf einem FortiAuthenticator kann eine Passwort Policy aktiviert/definiert werden unter folgender Position:

       Authentication > User Account Policies > Passwords
       Fortinet-1014.jpg

Was ist auf einem FortiAuthenticator zu beachten wenn ein "locked" User durch den User "admin" auf "unlocked" Konfiguriert wird?

Wenn in der Account Policy im FortiAuthenticator "enable password expiry" gesetzt wird so wird ein User auf "locked" gesetzt sofern er sein Password nach "password expiry" nicht neu setzt. Obwohl ein Administrator im FortiAuthenticator diesen User "unlocked" wird der User nach 24 Stunden wiederum auf "locked" gesetzt. Der Grund dafür ist der Folgende:

       Da der User innerhalb dieser 24 Stunden sein Passwort nicht neu setzt greift wieder die Option password expiry" 

Somit muss ein User nach einem "unlock" das Passwort innerhalb 24 neu setzen damit der nicht wieder auf "lock" gesetzt wird.

Wie kann ich auf einem FortiAuthenticator für die User eine Lockout Policy Konfigurieren?

Lockout Policy für die User kann über folgende Position definiert werden:

       Fortinet-1015.jpg

Wie kann ich auf einem FortiAuthenticator für User eine 802.x Authentication Konfigurieren?

Eine 802.x Authentication ist basierend auf der MAC Adresse dh. zur regulären Authentifizierung wird die MAC Adresse des Client zur Authentifizierung hinzugefügt. Um eine solche Konfiguration auf dem FortiAuthenticator durchzuführen führe folgendes durch:

       1. Als erstes erfasse für die Authentifizierund den entsprechenden Radius Client:
          
          FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
          
       2. Definiere im Radius Client, dass für diesen Radius Client eine MAC basierende Authentifizierung gilt:
          
          Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Radius Client] > [Aktiviere "Allow MAC-based authentication"]
          
          Fortinet-2162.jpg
          
          Unter dieser Position kann die "Mac-based authentication" anhand "Apply Group Attributes" mit einer entsprechenden Gruppe Verknüpft werden.
          
       3. Erfasse für die 802.x Authentifizierung die entsprechenden MAC Adresse/n:
          
          Authentication > User Management > MAC Auth Bypass > Create New
          
          Fortinet-2163.jpg

Nun kann die Konfigurtion anhand eines Users der für den entsprechenden Radius Client (Gruppe und/oder Local Users) freigeschaltet ist getestet werden!

Wie kann ich auf einem FortiAuthenticator für "expired" User Automatisch einen "purge" Konfigurieren?

Ab Version 3.0.1 wird die Funktion eines "Automatically purge" zur Verfügung gestellt unter folgender Menüposition:

       Authentication > General > Other Settings > Automatically purge disabled user accounts
       Fortinet-2164.jpg

Somit kann unter dieser Position anhand der Frequency (Daily, Weekly oder Monthly) sowie Time (Zeit der Ausführung) angegeben werden, wann "Account expired" User zB stammend von der Self-Registration gelöscht werden sollen. Wenn die User manuell anhand "Purge Disabled" gelöscht werden sollen, kann dies unter folgender Position durchgeführt werden:

       Authentication > User Management > Local Users
       Fortinet-1050.jpg

Wie kann ich auf einem FortiAuthenticator einen Pre-Authentication Disclaimer Konfigurieren?

Ab FortiAuthenticator 4.2 steht ein Pre-Authentication Disclaimer für HTTP/HTTPS sowie CLI und SSH zur Verfügung. Dieser Kann über folgenden Menüpositon aktiviert werden:

       System > Administration > System-Access > Pre-Authentication
       Fortinet-2193.jpg

Für diese Funktion wird eine Replacement Messages Seite benutzt die unter folgender Position zur Verfügung steht und modifiziert werden kann:

       Authentication > Self-Service Portal > Replacement Messages > Authentication
       Fortinet-2194.jpg

Wird die Funktion des Pre-Authentication Disclaimer aktiviert so erscheint zB beim Login über HTTP/HTTPS dieser Pre-Authentication Disclaimer der akzeptiert werden muss, damit ein Login durchgeführt werden kann:

       Fortinet-2195.jpg

Wie kann ich auf einem FortiAuthenticator verhindern, dass ein User Mehrmals ein Login ausführt?

Dies kann über den FortiAuthenticator nicht verhindert resp. konfiguriert werden. Der Grund liegt darin, dass der FortiAuthenticator zwar das Login des Users überprüft aber das Logout wird dem FortiAuthenticator nicht von zB einer FortiGate zurückgemeldet. Also kann der FortiAuthenticator nicht feststellen ob der User ausgeloggt hat oder nicht resp. ob es sich um ein "multiple user login" handelt. Um dies zu verhindern muss dies auf dem Device auf dem der User das Login vollzieht konfiguriert werden. Wie dies auf einer FortiGate zu konfigurieren ist siehe nachfolgenden Artikel:

       FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_jeden_User_.28inkl._.22admin.22.29_und.2Foder_User_in_Gruppen_ein_.22multiple_login.22_verhindern.3F

Wie kann ich auf einem FortiAuthenticator bei einem Remote Radius User der Benutzername case sensitive aktivieren/deaktivieren?

Ab der Version 4.2.1 kann für die Remote Radius User der Benutzername case sensitive ein oder ausgeschaltet werden:

       Authentication > Remote Auth. Servers > General > Remote Radius > [Aktiviere oder Deaktiviere "Remote RADIUS usernames are case sensitive]

Self-Registration

Wie sieht ein Grundsetup aus auf einem FortiAuthenticator für die Self-Registration Funktion?

Im Gegensatz zum "Wireless Guest Access Provisioning" existieren für die "Wireless Self Registration" Funktion vers. Vorraussetzungen die da wären:

       FortiGate mit FortiOS 5 Patch 2 oder höher
       FortiAuthenticator mit FortiOS 3 oder höher

Wenn der FortiAuthenticator zB basierend auf VMWare installiert ist kann über die Kommandozeile ein entsprechendes Interface für den Zugriff konfiguriert werden:

       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_die_Grundkonfiguration_betreffend_Netzwerk_durchf.C3.BChren.3F

Nun kann man auf das Mgmt. WebInterface zugreifen:

       https://192.168.1.40/

Danach führe folgendes Konfiguration aus:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_das_Passwort_des_User_.22admin.22_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_den_User_.22admin.22_den_Management_Access_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_den_User_.22admin.22_das_Timeout_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_den_Hostnamen_eines_FortiAuthenticators_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_den_FQDN_.28Fully_Qualified_Domain_Namen.29_eines_FortiAuthenticators_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_die_Timezone_sowie_Timeserver_.28NTP.29_f.C3.BCr_einen_FortiAuthenticator_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_die_Domain_Name_Server_.28DNS.29_f.C3.BCr_einen_FortiAuthenticator_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_das_Routing_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_den_Management_Access_sowie_Service_Access_Konfigurieren.3F

Unter "Services" sollten nur die Services aktiviert werden die benützt werden für die Authentifizierung. Dies bedeutet: Wenn nur die "Self Registration" Funktion genutzt wird so deaktiviere alle Services bis auf "Radius" da die Funktion "Radius" basierend ist! Wenn der FortiAuthenticator durch eine Firewall geschützt wird zB in einem DMZ muss darauf geachtet werden, dass die entsprechenden Services für die die Authentifizierung sowie Mgmt. auf der Firewall zB FortiGate erlaubt werden. Die vers. Ports wären:

       FFSO                TCP 8000
       LDAP                TCP 389 (LDAPS 636)
       Radius              TCP 1812 (UDP)
       Radius Accounting   TCP 1813 (UDP)
       
       Mgmt. HTTP          TCP 80
       Mgmt. HTTPS         TCP 443
       Mgmt. SSH           TCP 22
       Mgmt. Telnet        TCP 21
       Mgmt. Ping          ICMP

Weitere Informationen betreffend "Open Ports" im Zusammenhang mit Fortinet Produkten wie der FortiAuthenticator siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Welche_Open_Ports_ben.C3.BCtzt_ein_FortiAuthenticator.3F

Im "Self Registration" Portal werden Services benötigt die die nötigen Informationen übermitteln wie zB E-Mail, SMS usw. Einer dieser Service's ist die Uebermittlung der Informationen über EMail! Dazu wird ein SMTP Server benötigt. Die Konfiguration des SMTP Servers wird unter folgendern Position konfiguriert:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_SMTP_Server_Konfigurieren_f.C3.BCr_Versendung_von_Email_Nachrichten.3F

Desweiteren kann die Information über SMS versendet werden. Unter folgender Position kann ein SMS Service konfiguriert werden dh. per Standard steht der "FortiGuard Messaging Service" zur Verfügung, der benutzt werden kann sofern man über den "FortiGuard Service" für den Authenticator verfügt. Wenn selber ein SMS Gateway/Provider definiert werden möchte was zu empfehlen ist siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_SMS_Gateway_Konfigurieren_f.C3.BCr_die_Versendung_von_SMS_Nachrichten.3F

Als nächstes muss auf dem FortiAuthenticator der FortiGate Device über diesen die "Self Registration" Funktion ausgeführt wird als "Radius Client" erfasst werden. Ebenso muss auf der FortiGate auf der die "Self Registration" Funktion benutzt wird der "Radius Server" erfasst werden:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F        

Als nächsten Schritt legen wir eine Gruppe an die alle User beinhaltet die sich auf dem Self-Registration Portal registrieren werden dh. diese Self-Registration User werden durch die Funktion automatisch in diese Gruppe geschrieben. Weitere Informationen zur Erstellung einer Gruppe und was dabei zu beachten ist siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F

Als nächsten Schritt definieren wir die Grundkonfiguration des "Self-Registration" Funktion dh. unter folgender Position:

       Fortinet-1040.jpg

Innerhalb dieser Konfiguration kann die Standard Sprache des Portals definiert werden! Es stehen vers. Sprachen zur Verfügung wie Deutsch, Französisch, Englisch usw. Unter der Position "Site Name" kann der FQDN des Portals definiert werden. Dies ist nur dann zu definieren wenn die nachfolgende Konfiguration nicht durchgeführt wurde:

       FortiAuthenticator:FAQ#Wie_kann_ich_den_FQDN_.28Fully_Qualified_Domain_Namen.29_eines_FortiAuthenticators_Konfigurieren.3F

Unter der Position "E-mail signature" kann eine Signature definiert werden die jeder Nachricht angehängt wird die über das Self-Registration Portal ausgelöst wird! Nun defnieren wir die Funktion des Self-Registration Portals unter folgender Position:

       Fortinet-1041.jpg
       Require administrator approval
       Wenn die Position "Require administrator approval" aktiviert wird, erhält der zustaendige Administrator 
       per E-Mail die noetigen Informationen für die Registration des Users und muss bevor diese Aktiv werden 
       im FortiAuthenticator diese durch eine Link der auf den FortiAuthenticator zeigt Bestätigen. Die EMail
       Adressen können frei gewählt werden oder über den entsprechenden Account des Administrators:
       
       Fortinet-1042.jpg
       Use mobile number as username"
       Aktiviert man diese Position so wird als Username die Mobile Nummer definiert sowie das Passwort wird
       dem User an die defninierte Mobile Nummer gesendet!
       Place registered users into a group
       Diese Position sollte umbedingt aktiviert werden sowie die entsprechende Gruppe definiert werden. Weitere 
       Informationen dazu siehe nachfolgender Artikel:
       
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F
       Password creation
       Wenn die Position "Password creation" auf "Randomly generated" gesetzt wird so wird ein Passwort vom System
       generiert. Ab Version 3.0.0 kann dieses Passwort über die "User Account Policies" beeinflusst resp. definiert 
       werden. Weitere Informationen siehe nachfolgender Artikel:
       
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_eine_Account_Policy_Konfigurieren.3F
       
       Deszweiteren ist zu berücksichtigen, dass wenn die Funktion "Randomly generated" benutzt wird, innerhalb des 
       Self-Registration Portals die Felder für die Angabe des "Password" sowie "Confirm Password" entfernt werden. 
       Dies kann über die "Replacement Message Groups" durchgeführt werden:
       
       Fortinet-1044.jpg
       Send account information via
       Diese Position definiert "wie" die Account Informationen dem User der sich auf dem Self-Registration Portal registriert
       zugestellt werden. Aktiviert man die Position "Display on browser page" kann die entsprechende Seite unter den "Replacement
       Message" modifiziert werden:
       
       Fortinet-1043.jpg
       Required Field Configuration
       Im Self-Registration Portal stehen für die Registration verschiedene Felder zur Verfügung wie zB First name, Last name usw.
       Unter dieser Position wird definiert ob diese Felder "Required" sind oder nicht. Ebenfalls stehen drei "Custom field"
       zur Verfügung in denen eigenen User Informationen definiert werden können. Weitere Informationen wie diese Felder erstellt 
       werden etc. findet man unter folgendem Artikel:
       
       FortiAuthenticator:FAQ#Gibt_es_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_Informationen_die_M.C3.B6glichkeit_zus.C3.A4tzlich_Felder_zur_Verf.C3.BCgung_zu_stellen.3F

Die Konfiguration ist nun abgeschlossen auf dem FortiAuthenticator. Dies bedeutet: Das Verhalten des Self-Registration Portal ist definiert sowie eine Gruppe die zum entsprechenden Radius Client (FortiGate) hinzugefügt wurde. Die Verbindung zwischen Radius Client (FortiGate) und Radius Server (FortiAuthenticator) wurde getestet und steht. Als letzter Test kann nun das Self-Registration Portal getestet werden dh. führe folgendes aus:

       https://192.168.1.40
       
       NOTE Wenn man nun auf "Register" klickt, wird die "Self Registration" Seite angezeigt und kann getestet
            werden. Beachte bei diesem Test, dass keine Admin Session aktiv ist da ansonsten das Login nicht angezeigt 
            wird dh. logge dich also vorhergehend aus dem FortiAuthenticator aus!
            
            Fortinet-1045.jpg
            
            Fortinet-1046.jpg
            
            In diesem Beispiel wurde das Passwort auf "Randomly generated" gesetzt sowie die Passwort Felder unter
            "Replacement Message Groups" für die "Registration Page" auskommentiert ( <!-- --> ). 
            Die Passwort Policy wurde ebenfalls manipuliert indem folgendes definiert wurde:
            
            Fortinet-1048.jpg 
            
            Fortinet-1047.jpg
            
            Da wir die Position "Display on browser page" gewählt haben werden nun die Login Daten auf der Seite angezeigt!
            Wenn diese Variante gewählt wird, sollte ein Link auf diese Seite eingebaut werden damit der User die Credentials
            eingeben kann. Damit er dies durchführen kann klickt er auf "Click here to proceed,". Durch diese Implementierung 
            wird eine Seite aufgerufen (zB www.google.ch) und dadurch Erzwungen das die "Login Page" angezeigt wird auf der 
            der User seine  Credentials eingeben kann:
            
            --------------- HTML ---------------
            
             <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
             <html>
             <p> Click <a href="http://www.mydomain.ch"> here </a> to proceed, </p> 
             </html>
             
            --------------- HTML ---------------

Der User der sich selber über die "Self Registration" registriert hat ist auf dem FortiAuthenticator unter folgender Position sichtbar:

       Fortinet-1049.jpg

Die User werden "autom" deaktiviert sobald "Account expires after" unter der folgende Position eintritt und somit zählen diese User als nicht mehr "aktive" User!:

       Authentication > Self-registration > Account expires after

Soll die Expiration manipuliert werden für einen einzelnen User kann dies innerhalb des User unter "Enable account expiration > Edit" durchgeführt werden! Die User die die Expiration erreichen werden per Standard nicht automatisch gelöscht sondern können mit der Funktion "Automatically purge expired accounts" Automatisch oder über die Local User Manuell gelöscht werden. Weitere Informationen zur Automatischen/Manuellen Löschung abgelaufener User siehe Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_.22expired.22_User_Automatisch_einen_.22purge.22_Konfigurieren.3F

Nun kann die Implementation auf der FortiGate (Radius Client) durchgführt werden dh. Implementiere die nötige SSID sowie FortiAP. Weitere Informationen dazu siehe nachfolgenden Artikel:

       FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F
       FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.4_in_Betrieb_und_konfiguriere_ich_diesen.3F

Beim erfassen der SSID muss diese betreffend Authentication auf "Open" gesetzt werden. Der Grund dafür ist, dass dem User "ohne" Authentifizierung eine IP zugewiesen werden muss damit er zum "Self Registration" Portal gelangt! Um auf der FortiGate die entsprechende Konfiguration zu vervollständigen dh. um eine Policy zu implementieren für "Identity Based Poliy" müssen wir eine Gruppe erfassen und dieser den erfassten "Radius Server" hinzufügen:

       User & Device > User > User Group > Create New
       Fortinet-748.jpg

Das "Captive Portal" das benutzt wird für die Self-Registration Funktion sollte ein Link enthalten der durch die User benutzt werden kann um zum Self-Registration Portal des FortiAuthenticators zu gelangen. Somit muss über eine "Replacemente Message Group" das Captive Portal modifiziert werden. Erstelle auf dem FortiGate Device über "Replacement Message Groups" dieses Captive Portal:

       Config > Replace Message Groups > Create New > [Name der Replacement Message Group zB "captive-portal-only4dmz"
       Fortinet-2165.jpg
       
        --------------- HTML ---------------
        
          <p style="text-align:center">
            If you do not have an account on this system, please register 
            <a href="https://selfreg.also-solutions.local.intra/auth/register/">
              here
            </a>
          </p>
         
        --------------- HTML ---------------

Weitere Informationen zu den "Replacement Message Groups" findet man unter nachfolgenden Link:

       FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F

Wenn die User über einen FQDN das Self-Registration Portal erreichen sollen oder im Captive Portal der FQDN des Self-Registration Portal benutzt wird muss dieser FQDN Name über einen entsprechenden DNS Eintrag verfügen sowie in der SSID in unserem Beispiel "only4dmz" muss den User einen entsprechenden DNS Server zur Verfügung gestellt werden der diesen FQND des Self-Registration Portal auflösen kann. Ebenfalls muss eine Firewall Policy Rule erstellt werden, der diesen Traffic für DNS ohne eine entsprechende Authentication für "only4dmz" erlaubt:

       Fortinet-2166.jpg

In unsere Beispiel wurde den Usern für die SSID "only4dmz" der DNS Server "198.18.0.1" zur Verfügung gestellt. Nun muss nach dieser DNS Firewall Policy Rule für das Self-Registration Portal eine Firewall Policy Rule konfiguriert werden, dies es erlaubt ohne Authentifizierung zum Self-Registration Portal resp. zum FortiAuthenticator zu gelangen:

       Fortinet-2167.jpg

Wenn der User nun auf dem FortiAuthenticator die Self-Registration ausführt wurde in der Bestätigung über Browser ein Link zur Verfügung gestellt die irgendeine Seite aufruft zB www.google.ch. Dadurch wird nun die nächste Firewall Policy Rule aufgerufen die eine Authentifizierung auslöst über das Captive Portal das wir über Replacement Message Groups erstellt haben. Dieses kann nicht über Web Mgmt. Interface konfiguriert werden dh. dieses muss über CLI für die entsprechenden nachfolgende Firewall Policy Rule konfiguriert werden:

       Fortinet-2168.jpg
       
       # config firewall policy
       # edit [Policy ID der entsprechenden Firewall Policy die erstellt wurde]
       # set replacement-override-group [Name des entsprechenden Captive Portal zB "captive-portal-only4dmz"]
       # end

Nun können die ersten Tests durchgeführt werden um die Funktion des Self-Registration Vorgangs zu überprüfen!

Wie kann ich auf einem FortiAuthenticator die HTML Seiten für Self-Registration Funktion Konfigurieren?

Sämtliche HTML Seiten sei es für SMS, Browser und/oder EMail lassen sich über die "Replacement Message" Funktion modifizieren und abändern. Dazu wähle folgende Menüposition:

       Authentication > Self-service Portal > Replacement Message Groups
       Fortinet-1051.jpg

Wie kann ich auf einem FortiAuthenticator für Self-Registration die Felder für das Registrations Portal Konfigurieren?

Die Felder auf der "Self-Registration" Seite lassen sich vollumfänglich ändern dh. auf der einen Seite laesst sich bestimmen welche Felder als "Required" definiert werden und auf der anderen Seite lässt sich die HTML Seite ändern. Dies bedeutet wiederum, Felder die nicht "Required" sind können über die HTML Seite so modifiziert/gelöscht werden damit diese nicht angezeigt werden. Ebenso können 3 zusätzlich Felder für "User Informationen" konfiguriert werden:

       Required Field Configuration
       
       Authentication > Self-service Portal > Self-registration > Required Field Configuration
       
       Fortinet-1052.jpg
       Replacement Message
       
       Authentication > Self-service Portal > Replacement Message
       
       Fortinet-1053.jpg
       Custome Field
       
       FortiAuthenticator:FAQ#Gibt_es_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_Informationen_die_M.C3.B6glichkeit_zus.C3.A4tzlich_Felder_zur_Verf.C3.BCgung_zu_stellen.3F

Wie kann ich auf einem FortiAuthenticator die Gültigkeit (Zeitdauer) für einen Token Konfigurieren?

Wenn im FortiAuthenticator einen Token aktiviert wird, ist dieser für eine bestimmte Zeit für "ein" Login gültig. Diese Zeit zwischen Token Aktivierung/Deaktivirung kann in der "Lockout Policy" definiert werden. Weitere Informationen siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_eine_Lockout_Policy_Konfigurieren.3F

Wie kann ich auf einem FortiAuthenticator für ein ActiveDirectory/LDAP die Mobile Nummer der User auslesen?

Dies ist nur möglich über die Funktion "Remote Users" dh. die User Informationen aus dem ActiveDirectory resp. LDAP müssen über die FortiAuthenticator Funktion Importiert werden. Danach steht die Mobile Nummer der User sofern diese korrekt im ActiveDirectory resp. LDAP erfasst wurden auf dem FortiAuthenticator korrekt zur Verfügung. Diese Informationen sind statischer Natur dh. wenn Informationen im ActiveDirectory resp. LDAP geändert werden so werden diese nicht automatisch auf dem FortiAuthenticator aktualisiert. Diese können manuell aktualisiert werden oder Automatisiert über die Menüposition:

       Authentication > User Management > Remote User Sync Rules
       Fortinet-2169.jpg

Weitere Informationen dazu wie ActiveDirectory User resp. LDAP anhand eines Token für Authentication konfiguriert werden siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_User_aus_einem_ActiveDirectory.2FLDAP_eine_Tocken_Authentication_Konfigurieren.3F

Wie kann ich auf einem FortiAuthenticator Self-Registration für ein Interface basierendes Captive Portal auf einer FortiGate Konfigurien?

Das nachfolgend Beispiel zeigt einen Anwendungszweck der genutzt werden kann für ein "Interface" basierendes "Captive Portal" resp. für eine "Self-Registration" Funktion für FortiAccess Points. Die Basis dieses Beispiel ist das Grundsetup des FortiAuthenticators betreffend "Self-Registration" Funktion das nachträglich wie nachfolgend beschrieben abgeändert wird. Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F

Für die Konfiguration basierend auf eine "Interface" basierenden "Captive Portal" führe folgendes aus:

       Schritt 1:
       Verbinde die FortiAccess Points in ein Segment zB DMZ Interface sowie aktiviere auf diesem Interface einen DHCP Server für die 
       FortiAccess Points sowie aktiviere die CAPWAP Funktion auf dem DMZ Interface.
       Schritt 2:
       Konfiguriere auf der FortiGate eine SSID basierend auf der Authentifizierungs Methode "open" zB "only4dmz" sowie füge diese einem
       entsprechenden FortiAccess Point Profile hinzu. Füge dieses FortiAccess Point Profile das unsere SSID "only4dmz" enthält mit der
       Authentifizierungs Methode "opne" dem entsprechende FortiAccess Point als Profile hinzu.
       Schritt 3:
       Aktiviere auf dem DMZ Interface die Funktion "Captive Portal" unter "Security Mode". Als Gruppe für die Authentifizierung definiere
       die "Self-Registration" Gruppe. Diese Gruppe enthält den FortiAuthenticator als Radius Server dh. der FortiAuthenticator wurde auf
       der FortiGate als Radius Server konfiguriert und dieser Gruppe hinzugefügt. Als "Authentication Portal" definiere "external" sowie
       definiere als URL den Link zum FortiAuthenticator Self-Registration Portal:
       
       https://[IP or FQDN of FAC]/auth/register/
       
       NOTE Beachte im Zusammenhang mit IP und/oder FQDN Zertifikats basierende Probleme. Wenn ein User einen HTTP basierende URL
            aufruft und diese Anfrage über das "Captive Portal" zur "external" URL des FortiAuthenticator weitergeleitet werden soll
            muss global diese Funktion aktiviert werden. Diese "globale" Konfiguration kann auf Protokoll Ebene sowie Port Ebene über
            folgende Position konfiguriert werden:
            
            Config > User & Device > Authentication > Settings
       
       Zusätzlich, damit der Traffic zur definierten "external" URL erlaubt wird "ohne" Authentifizierung muss diese zu "Exempt List"
       hinzugefügt werden damit keine Authentifizierung bei der "external" definiert URL ausgelöst wird. Diese "Exempt List" kann FQDN
       und/oder IP basierend sein und kann folgendermassen definiert werden basierend auf einem Objekt:
       
       # config firewall address
       # edit [FortiAuthenticator Name zB "fac.local.intra"]
       # set address [IP Adresse des FAC]
       # end
       
       # config user security-exempt-list
       # edit [Name der Exempt liste zB "DMZ-exempt-list"]
       # config rule
       # edit 1
       # set srcaddr "[Objekt des FAC zB "fac.local.intra"]"
       # next
       # end
       # next
       # end
       Schritt 4:
       Um den Traffic zum FAC in der Firewall Policy Rule zu erlauben resp. damit die "Exempt List" greift, muss in der entsprechenden
       Firewall Policy Rule den Verweis zur "Exempt List" aktiviert werden.
       
       # config firewall policy
       # edit [Wähle eine entsprechende Policy ID]
       # set srcintf [Wähle das Interface auf dem das "Captive Portal" aktiviert wurde dh. zB "DMZ" 
       # set srcaddr [Definiert den IP Range für die SSID "open" resp. den DHCP Server IP Range]
       # set dstintf [Definiere das Interface hinter dem sich der FAC befindet]
       # set dstaddr [Definiere als Destination den FAC zB als Objekt "fac.local.intra"]
       # set action accept
       # set schedule "always"
       # set service "HTTP" "HTTPS"
       # set captive-portal-exempt enable
       # end
       
       NOTE "Nach" dieser Firewall Policy Rule muss der ordentliche Traffic der SSID "only4dmz" definiert werden dh.
            damit den Usern basierend auf dem IP Range der SSID "only4dmz" erlaubt wird zB auf das Internet zu zugreifen.
            Desweiteren muss berücksichtigt werden, das Event. je nach Situation muss die "Exempt  Liste" erweitert werden 
            um den Zugriff auf den FAC per FQDN sowie im Allgemeinen zu URL's zu ermöglichen dh. damit dies durchgführt
            werden kann, muss der Zugriff ohne Authentifizierung auf die entsprechenden DNS Server erlaubt werden!
       Schritt 5:
       Wenn nun der User sich mit der SSID "only4dmz" verbindet, wird diesem - ohne Authentifizierung - eine IP aus dem
       Bereich des DHCP Servers der SSID zugewiesen. Wenn der User nach diesem Vorgang eine URL aufruft zB www.google.com
       wird diese Adresse im ersten Schritt über den DNS Server Aufgelöst (muss ohne Authentifizierung erlaubt werden). 
       Danach versucht der Client die URL resp. die IP zu erreichen. Diese Anfrage wird jedoch nicht erlaubt, wenn der 
       Traffic auf dem DMZ Interface mit aktivierten "Captive Portal" auftrifft. Da wir auf dem Interface für das "Captive
       Portal" ein "external Captive Portal" definiert haben, mit dessen "external" URL, wird diese Anfrage zu diesem "Captive 
       Portal" redirected. Dieser "redirect" zum FortiAuthenticator "Self-Registration" Portal wird erlaubt da wir für 
       diesen Traffic eine "Exempt List" definiert haben. Bei diesem Vorgang wird der URL des Users folgende Informationen
       hinzugefügt, die später benutzt werden können um die Authentifizierung "vom" FortiAuthenticator zur FortiGate 
       auszuführen:
       
       magic number
       username
       Password
       
       Der User für die SSID "only4dmz" kann sich nun nach dem "redirect" auf dem "Self-Registration" Portal des 
       FortiAuthenticator Registrieren mit dessen First name, Last name sowie Mobile number. Für diese Defintion auf dem
       FortiAuthenticator ist folgendes betreffend Konfiguration zu berücksichtigen:
       
       --> Registriere die FortiGate mit deren IP als "Radius Client" auf dem FortiAuthenticator und konfiguriere innerhalb
           der "Radius Client" Konfiguration folgendes:
           
           "Apply two-factor authentication if available (authenticate any user)"
           
           Innerhalb der "Radius Client" Konfiguration definiere unter folgender Position eine entsprechende Gruppe die unser
           "Self-Registration" Group darstellt:
           
           "Realm > Groups"
           
           Diese Gruppe kann innerhalb des FortiAuthenticator unter folgender Position erstellt werden:
           
           "Authentication > User Managment > User Groups"
           
       --> Für das "Self-Registration" Portal konfiguriere auf dem FortiAuthenticator unter nachfolgender Position Folgendes:
           
           "Authentication > Self-Service Portal > Self-Registration"
          
           Active the Position:                      "Use mobile number as username"
           Place registered users into a group:      "[Define the Self-Reg group which was also defined under the Radius Client]"
           Password creation:                        "Randomly generated"
           Send account information via:             "Display on browser page"
           SMS gateway:                              "[Define the SMS Gateway which was defined within FAC for HTTP Get/Post]
           Ebenfalls innerhalb dieser Konfiguration definiere für "Required Field Configuration" folgende Felder:
          
           First name
           Last name
           Mobile number
          
           NOTE Für diese Konfiguration resp. für dessen Abbildung wird im Hintergrund eine "replacement message" benutzt.
                da wir für die "Required Field Configuration" nicht alle Felder benutzen müssen/sollten die übrigen entfernt
                werden. Dies kann in der entsprechenden "replacement message" durchgführt werden. Diese findet man unter 
                folgender Position:
               
                "Authentication > Self-Service Portal > Replacement Message > User Registration Receipt"
       Schritt 6:
       Der User kann nun auf dem FortiAuthenticator die Self-Registrierung ausführen mit den zur Verfügung stehenden Feldern
       die definiert wurden (First name, Last name, Mobile number). Das Ziel das nun zu erreichen wäre ist das Folgende: Wenn
       der User nach Eingabe der "Required Field Configuration" im "Self-Registration" Portal auf "submit" klickt wird ein 
       entsprechender "token" ausgelöst und auf die definierte "Mobile number" im "Self-Registration" Portal gesendet. Dieser
       "token" muss der User auf der "verification" Seite direkt eingeben da dies über den Konfigurationspunkt "Display on 
       browser page" sowie "Use mobile number as username" ausgelöst wird! Sobald dies durchgeführt wurde werden die
       Informationen anhand einer modifizierten "replacement message" Seite für "Display on browser page" direkt and die 
       FortiGate auf den Authentication Port 1000 gesendet und somit ein direktes Login ermöglicht. Modifziere die "replacement
       message" "Display on browser page" unter folgender Position folgendermassen:
       
       "Authentication > Self-Service Portal > Replacement Message" 
       
       Suche die Position "User Registration Receipt" und ersetze den Inhalt folgendermassen:
       
       --------------- User Registration Receipt --------------- 
        
        <!DOCTYPE html>
        <html>
          <head>
            <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
            <title>User Registration Receipt</title>
            <style type="text/css">
              body {
                font-family: verdana,arial,helvetica,sans-serif;
                max-width: 600px;
              }
              p, table, ul {
                font-size: 12px;
              }
              table {
                border: 1px solid lightBlue;
                margin: auto;
                padding: 5px;
                width: 500px;
              }
              table td.attr-name {
                font-weight: bold;
                text-align: right;
                width: 30%;
              }
              table td.attr-val {
                text-align: left;
              }
            </style>
              <script>
                // Function to retreive url query parameters. 
                function getParameterByName(name) {
                    name = name.replace(/[\[]/, "\\[").replace(/[\]]/, "\\]");
                    var regex = new RegExp("[\\?&]" + name + "=([^&#]*)"),
                        results = regex.exec(location.search);
                    return results === null ? "" : decodeURIComponent(results[1].replace(/\+/g, " "));
                }
                // Prefills hidden form with auth magic. 
                window.onload = function() { 
                    document.forms['login'].elements['magic'].value = getParameterByName('magic');
                }
            </script>
          </head>
          <body>
            <h2>User Registration Receipt</h2>
            <p>Your account has been created and is now ready to use!</p>
            <table id="user-info">
              <tr>
                <td class="attr-name">Username:</td>
                <td class="attr-val">{{:username}}</td>
              </tr>
              <tr>
                <td class="attr-name">Account Expiry:</td>
                <td class="attr-val">{{:expiry}}</td>
              </tr>
            </table>
            <form name="login" method=POST action="http://[IP FortiGate]:1000/fgtauth">
                <input type="hidden" name="magic" value="" />
                <input type="hidden" name="username" value="{{:username}}"/>
                <input type="hidden" name="password" value="{{:password}}"/>
                <input type="submit" value="Login" />
              </form>  
        </body>
        </html>
        
        --------------- User Registration Receipt --------------- 
       
       NOTE Ersetze die Position "http://[IP FortiGate]:1000/fgtauth" entsprechend mit der IP des DMZ Interface's!
       Schritt 7:
       Nun kann die Implementation getestet werden:
       
       --> Verbinde dich mit der SSID "only4dmz" und rufe über den Browser eine URL auf zB www.google.com
       --> Es wird ein "redirect" ausgeführt auf das "Self-Registration" Portal des FortiAuthenticators
       --> Gebe die entsprechenden Informationen ein dh. First name, Last name sowie Mobile number
       --> Bestätige die eingegebenen Informationen anhand des "submit" Buttons
       --> Auf die definierte Mobile number wir ein "token" ausgelöst
       --> Gebe auf der "verification" Seite die nach der Bestätigung durch "submit" erscheint den "token" ein
       --> Bestätige die "verification" Seite und es erscheint die "User Registration Receipt" Seite
       --> Bestätige die "User Registration Receipt" Seite anhand des "Login" Buttons
       --> Im Hintergrund wird Username (=Mobile number) sowie Password (=Random) im Hintergrund zur FortiGate gesendet (http://[IP FortiGate]:1000/fgtauth)
       --> Authentifizierung wurde erfolgreich durchgeführt und die URL www.google.com wird aufgerufen

Radius Service

Wie kann ich auf einem FortiAuthenticator ein Radius Client Konfigurieren?

Nun möchte man zB auf einem FortiGate Device eine Radius Authentication benutzen resp. FortiAuthenticator so muss folgendes als Grundvoraussetzung konfiguriert werden:

       • Vergewissere dich, dass auf beiden Geräten FortiGate und/oder FortiAuthenticator die korrekte Zeitzone 
         gesetzt ist sowie die Zeit korrekt mit dem gleichen Zeit-Server (NTP) synchronisert wird!
         
       • Vergewissere dich, dass beide Devices dh. FortiGate und FortiAuthenticator über einen DNS "A" Record 
         verfügt sowie sofern möglich über einen PTR Record
         
       • Erfasse auf dem FortiGate Device den FortiAuthenticator als Radius Server und vergebe ein "Preshared Secret":
         
         User & Device > Authentication > RADIUS Servers > Create New
         
         Fortinet-1023.jpg

Standardsgemäss läuft Radius auf einer FortiGate auf Port 1812 (New Radius) und Radius Accounting auf Port 1813 (Radius New Accounting). Muss aus irgendwelchen Gründen "Old Radius" (Port 1645) benutzt werden so muss diese Konfiguration über Komandozeile auf der FortiGate durchgeführt werden:

       # config system global
       # set radius-port 1645
       # end
       • Erfasse auf der FortiAuthenticator den FortiGate Device als Radius Client und vergebe das gleiche 
         "Preshared Secret" wie für den Radius Servers auf der FortiGate:
         
         Authentication > RADIUS Service > Clients > Create New
         
         Fortinet-2172.jpg

Bei der Radius Client Konfiguration ist darauf zu achten welche Authentifizierungs Methode benutzt wird sowie ob Local Server oder Remote Server genutzt wird. Weitere Informationen siehe folgender Artikel:

       FortiAuthenticator:FAQ#Was_ist_auf_einem_FortiAuthenticator_zu_beachten_wenn_f.C3.BCr_ein_Radius_Client_verschiedenen_Authentifizierungen_ben.C3.BCtzt_werden.3F

Sobald die Konfiguration durchgeführt wurde, kann die Verbindung die durch das "Preshared Secret" verschlüsselt wird getestet werden. Dafür kann temporaer ein lokaler User auf dem FortiAuthenticator erfasst werden und dieser für Radius Authentication freigegeben werden. Dazu muss ein lokaler User mit dessen Passwort erfasst werden unter:

         Authentication > User Management > Local User > Create New
       • Danach erstelle für diesen User eine lokale Gruppe unter folgender Position und füge den soeben 
         erstellten User hinzu:
         
         Authentication > User Management > User Groups > Create New
         
       • Diese Gruppe muss nun zum entsprechenden Eintrag des "Radius Client" (Auth. Clients) hinzugefügt 
         werden:
         
         Authentication > RADIUS Service > [Wähle den entsprechenden Eintrag für den "Radius Client"]
         
         Füge die entsprechende Gruppe die erstellt wurde hinzu:
         
         Fortinet-2171.jpg
         
       • Nun kann auf dem FortiGate Device im entsprechenden Eintrag des Radius Servers anhand des "Test" 
         Button der Username und Passwort für den User den wir soeben erfasst haben getestet werden:
         
         User & Device > Authentication > RADIUS Servers > [Wähle den entsprechenden Eintrag]

Was ist auf einem FortiAuthenticator zu beachten wenn für ein Radius Client verschiedenen Authentifizierungen benützt werden?

Ein FortiAuthenticator kann verschiendenartig genutzt werden dh. zB um Two-Factor Authentifizierungenen anhand ActiveDirectory/LDAP für VPN Access über eine FortiGate bereitzustellen und gleichzeitig zB Self-Registrtion Funktion über ein Captive Portal für eine SSID auf der gleichen FortiGate. Diesem Umstand wurde im FortiAuthenticator 4.0 Rechnung getragen dh. die verschiedenen Authentifizierungen werden mit verschiedenen Realms und diese wiederum mit deren Gruppen Verknüpft. Dies gewährleistet, dass für einen Radius Client verschiedenen Gruppen und Authentifizierungen unterschieden werden können. Der Nachteil liegt darin, dass die User mit Realms arbeiten müssen dh. es gilt somit anhand der Angabe des Realms zB username\realm ein Login durchzuführen damit anhand des Realm die korrekte Gruppe resp. Authentifizierung ausgelöst wird. Dieser Umstand ist im nachfolgenden Artikel erklärt:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F

Eine andere transparentere Möglichkeit ist für eine FortiGate mehrere Radius Clients zu erfassen und somit die verschiedenen Authentifizierungs Möglichkeiten anhand des Radius Clients zu unterscheiden. Somit würde jeder erfasste Radius Client auf dem FortiAuthenticator die entsprechende Gruppe beinhalten zB eine für Lokal User und eine für Remote User (ActiveDirectory/LDAP). Nachfolgend wird erklärt wie auf einem FortiGate Device dies zu konfigurieren ist und wie dies auf einem FortiAuthenticator durchgeführt wird:

       • Konfiguriere auf dem FortiGate Device einen Radius Server sowie auf dem FortiAuthenticator einen Radius Client:
         
         FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
       
       • Konfiguriere auf dem FortiGate Device eine Gruppe (zB Group-I)und füge dieser Gruppe den Radius Server hinzu:
         
         User & Device > User > User Groups > Create New
         
       • Auf dem FortiAuthenticator wird im entsprechenden Radius Client unter Realms die entsprechende Gruppe (zB Group-I) hinzugefügt:
         
         Authentication > Radius Service > Clients
         
         Fortinet-2173.jpg

Die Standard Konfiguration ist abgeschlossen dh. der konfigurierte Radius Server auf dem FortiGate Device für die Gruppe zB Group-I Authentifiziert mit dem konfigurierten Radius Client auf dem FortiAuthenticator in dem die Gruppe zB Group-I konfiguriert wurde. Ziel der nächsten Konfiguration ist eine Gruppe zB Group-II über einen seperaten Radius Client Konfiguration auf dem FortiAuthenticator zu konfigurieren:

       • Konfiguriere auf dem FortiGate Device auf dem Interface im Segment des FortiAuthenticators eine Sekundäre IPv4 Adresse. Die
         Primäre Adresse des existierenden Interface im Segment des FortiAuthenticators wird benutzt für die existierende Konfiguration
         der Radius Server Konfiguration auf dem FortiGate Device. Die Sekundäre IPv4 Adresse wird nachträglich benutzt für die zweite
         Radius Client Konfiguration auf dem FortiAuthenticator. Konfiguriere die Sekundäre IPv4 Adresse auf dem entsprechenden Interface:
         
         System > Network > Interfaces > [Wähle das entsprechende Interface] > Edit > [Aktiviere Secondary IP Address]
         
         Die Konfiguration kann ebenfalls über CLI durchgeführt werden:
         
         # config system interface
         # edit [Name des entsprechenden Interfaces]
         # set secondary-IP enable
         # config secondaryip
         # edit 1
         # set ip [IPv4 Adresse zB 192.168.1.1/32]
         # unset allowaccess 
         # end
         # end
         
         Wenn Festgestellt werden muss über welches Interface ein bestehenden Radius Traffic durchgeführ wird kann über das "sniffer" 
         Kommando über CLI dies verifiziert werden.
         
         # diagnose sniffer packet any "port 1812"
         
       • Nun erstelle auf dem FortiGate Device einen weiteren Eintrag für den Radius Server. Dabei kann die gleiche IPv4 Adresse benutzt
         werden wie für den bereits existierenden Eintrag des Radius Server jedoch müssen sich die Namen der Radius Server unterscheiden.
         Ebenso muss sich das "Pre-Shared Secrect" vom bereits existierenden Eintrag unterscheiden. Weitere Informationen wie man einen
         Radius Server auf einem FortiGate Device Konfiguriert siehe nachfolgender Artikel:
         
         FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
         
       • Erstelle nun auf dem FortiGate Device eine Gruppe (zB Group-II) und füge dieser Gruppe den neu erstellen Radius Server Eintrag
         hinzu:
         
         User & Device > User > User Groups > Create New
         
         Auf dem FortiGate Device sind nun zwei Einträge vorhadnen für den gleichen FortiAuthenticator die sich nur durch den Namen sowie
         Pre-Shared Secret unterscheiden. Ebenso existieren 2 Gruppen für die jeweils ein Radius Server konfiguriert wurde.
         
       • Nun muss auf der FortiGate für die zweite Radius Server Konfiguration die Source IPv4 Adresse so konfiguriert werden damit die
         Sekundäre IPv4 Interface Adresse benutzt wird. Führe folgendes auf der CLI aus:
         
         # config user radius
         # edit [Namen des entsprechenden Radius Servers]
         # set source-ip [IPv4 Adresse des Sekundären Interfaces]
         # end
         
         Wenn nun die konfigurierten Radius Server auf dem FortiGate Device Authentifizierungs Nachrichten zum FortiAuthenticator senden,
         benutzen diese unterschiedliche IPv4 Adressen dh. ein Radius Server über die Primäre IPv4 Adresse des Interfaces und ein Radius
         Server die Sekundäre IPv4 Adresse des Interfaces und können somit auf dem FortiAuthenticator unterschieden werden.
         
       • Auf dem FortiAuthenticator kann nun ein weiterer Radius Client erfasst werden basierend auf der Sekundären IPv4 Adresse des 
         Interfaces auf der FortiGate sowie mit dem entsprechenden Pre-Shared Secret. Ebenso kann diesem Eintrag eine Gruppe hinzugefügt
         werden mit der entsprechenden Authentifizierungs Möglichkeiten die sich zB vom ersten Eintrag komplett unterscheidet:
         
         Authentication > Radius Service > Clients
         
         Fortinet-2173.jpg

In dieser Art und Weise kann für jede Gruppe und Authentifizierungs Möglichkeit über seperate Radius Clients diese unterschieden werden.

Remote Auth Servers

Wie kann ich auf einem FortiAuthenticator ein ActiveDirectory/LDAP Einbindung Konfigurieren?

Ein LDAP Server wird über folgende Position definiert/konfiguriert:

       Authentication > Remote Auth. Servers > Create New
       Fortinet-1020.jpg

Für eine Verschlüsselung steht zusätzlich "Secure Connection" zur Verfügung. Ueber diese Funktion kann die Verbindung zu einem ActiveDirectory/LDAP Verschlüsselt durchgeführt werden:

       Fortinet-1021.jpg

Sobald der LDAP ordnungsgemäss konfiguriert wurde sollte über die folgende Position innerhalb der LDAP Konfiguration auf dem FortiAuthenticator der LDAP anhand dem "Browse" Symbole getestet werden:

       Fortinet-1022.jpg

Wie kann ich auf einem FortiAuthenticator zusätzlich für Fallback einen Sekundäres ActiveDirectory/LDAP Konfigurieren?

Unter dem FortiAuthenticator 3.0 war es nicht möglich, bei der Konfiguration eines ActiveDirectory/LDAP Servers, einen zweiten Sekundäres ActiveDirectory/LDAP Server zu konfigurieren um einen "Fallback" abzudecken. Im FortiAuthenticator ab Version 3.1 ist dies nun möglich und wird unter folgender Position konfiguriert:

       Authentication > Remote Auths Servers > LDAP > [Aktiviere "Use secondary server"]
       Fortinet-2170.jpg

Dabei ist folgendes zu berücksichtigen: Das Sekundäre ActiveDirectory Server resp. LDAP wird nur dann benutzt wenn der Primäre nicht erreichbar ist!

Wie kann ich auf einem FortiAuthenticator für User aus einem ActiveDirectory/LDAP eine Tocken Authentication Konfigurieren?

Wenn im FortiAuthenticator ein ActiveDirectory resp. LDAP User für Token sei es Hardware Token oder SMS basierend eingebunden werden möchte, muss der User aus dem ActiveDirectory/LDAP importiert werden damit dem User nachträglich ein entsprechender Token hinzugefügt werden kann. Wird ein SMS Token benutzt so können die Mobile Informationen des Users aus dem ActiveDirectory/LDAP ebenfalls mit Importiert und genutzt werden sofern diese im Active Directory korrekt hinterlegt wurden. Ausgangslage um die User aus einem ActiveDirectory/LDAP zu Importieren ist die Konfiguration des ActiveDirectory/LDAP Servers selber. Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_ActiveDirectory.2FLDAP_Einbindung_Konfigurieren.3F

Nach dem der ActiveDirectory resp. LDAP Server konfiguriert wurde kann über die nachfolgende Position ein entsprechender User mit dessen Informationen Importiert werden:

       Authentication > User Management > Remote Users
       Fortinet-1061.jpg

Zusätzlich zu dieser import Funktion steht ebenfalls die "Remote User Sync Rules" zur Verfügung. Diese Funktion gewährleistet, dass die Informationen aus dem ActiveDirectory resp. LDAP betreffend User auf den neusten Stand gehalten werden da Updates im ActiveDirectory resp. LDAP wie zB Mobile Nummer Aenderungen der User nicht automatisch auf dem FortiAuthenticator eingespielt werden:

       Authentication > User Management > Remote User Sync Rules
       Fortinet-1062.jpg

Was muss ich beachten wenn im ActiveDirectory/LDAP User Informationen geändert werden die auf einem FortiAuthentictaor Konfiguriert sind?

Wenn über die "Remote Users" Funktion ActiveDirectory respektive LDAP User importiert werden inkl. zusätzlicher Informationen wie zB deren Mobile Nummer werden diese nicht automatisch auf dem FortiAuthenticator auf den neuesten Stand gebracht wenn diese im ActiveDirectory resp. LDAP verändert werden. Dies kann auf der einen Seite Manuell durchgeführt werden oder Automatisiert. Für die manuelle Variante wird der User erneut als "Remote User" importiert und somit auf den neusten Stand gebracht. Für die automatische Variante steht die Funktion "Remote User Sync Rules" zur Verfügung:

       Fortinet-1063.jpg

Bei dieser Funktion ist Vorsicht geboten. Bei einer falschen Konfiguration kann es dazu kommen das die User Information Fälschlicherweise überschrieben werden. Es ist zu empfehlen die Funktion nur dann zu nutzen wenn nicht darauf verzichtet werden kann!

Wo kann ich für einen FortiAuthenticator den Agent for Microsoft Windows oder Outlook Web Access runterladen?

Den Microsoft Windows Agent sowie den Outlook Web Access Agent kann man direkt im FortiAuthenticator runterladen:

       Authentication > FortiAuthentication Agent

Dieser Agent steht unter Fortinet Support resp. im Download Verzeichnis des FortiAuthenticator nicht zur Verfügung und kann ausschliesslich über den FortiAuthenticator runtergeladen werden. Vor der Installation ist zu empfehlen die entsprechenden Admin Guides zu konsultieren:

       Datei:Fac-agent-for-ms-iis-owa-guide-40.pdf        (FortiAuthenticator 4.0 Agent for Microsoft IIS/OWA - Install Guide)
       Datei:Fac-agent-for-ms-windows-guide-40.pdf        (FortiAuthenticator 4.0 Agent for Microsoft Windows Administration Guide)
       
       Datei:Fac-agent-for-ms-windows-guide-41.pdf        (FortiAuthenticator 4.1 Agent for Microsoft Windows Administration Guide)

Weitere Versionen des Admin Guide findet man unter nachfolgenden Artikel:

       FortiAuthenticator:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F

Wie kann ich auf einem FortiAuthenticator für einen Windows Server eine Radius Authentifizierung anhand pGina Konfigurieren?

Grundsätzlich steht für einen Windows Server im Verwendung zum FortiAuthenticator der "Agent for Microsoft Windows" zur Verfügung. Dieser Agent ermöglicht eine "reine" Two-Factor Authentifizierung basierend auf LDAP und Radius Server! Wenn jedoch eine "Einfache Radius" Authentifizierung gewünscht wird bewerkstelligt dies dieser "Agent for Microsoft Windows" nicht. Der "Agent for Microsoft Windows" basiert auf der "Gina" Schnittstelle von Windows. Das OpenSource Project "pGina" benutzt exakt die gleiche Vorgehensweise und ist deshalb predistiniert für eine reine "Radius Authentifizierung". pGina benutzt dazu sein eigenes "Radius Plug-In". Nachfolgendes Beispiel zeigt wie "pGina" installiert sowie konfiguriert wird:

       •Plugin Name: RADIUS Authentication & Accounting Plugin
       •Plugin Type: Authentication, Notification
       •Version: 3.1.x
       
       pGina Page                     http://pgina.org/
       pGina Download                 http://pgina.org/download.html
       RADIUS Plugin Documentation    http://pgina.org/docs/v3.1/radius.html

Nachfolgendes Beispiel wurde im Zusammenhang mit einem Windows 2008 R2 Server durchgeführt!

         Konfigurieren des Radius Client (Windows Server) auf dem FortiAuthenticator für pGina:
       
       • Erfasse den Windows Server auf dem Authenticator als "Radius Client" und achte darauf, dass
         unter dem Eintrag des "Radius Client" folgende Position aktiviert ist:
         
         Password-only authentication (exclude users without a password)
         
         NOTE pGina unterstützt keine Two-Factor Authentification!
         
         Weitere Details betreffend des Erfassens des "Radius Client" auf dem FortiAuthenticator siehe
         nachfolgenden Artikel:
         
         FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
         Installation von pGina:
       
       • Lade die Software pGina von der oben genannten Seite runter und starte die Installation anhand
         des Files "pGinaSetup-3.1.8.0.exe". Achte darauf das pGina mit vollen Administratoren Rechten
         installiert wird.
      
       • Nach der Installation befindet sich unter "Start > All Programs" ein neuer Order mit dem Namen
         "pGina". Darin befindet sich Konfigurations Utilitie "pGina":
         
         "C:\Program Files\pGina\pGina.Configuration.exe"
         
         Fortinet-1069.jpg
         Radius Plug-In Konfiguration von pGina:
       
       • Unter dem Register "Plug-In Selection" aktiviere die "Radius" Position gemäss Abbildung:
       
         Fortinet-1070.jpg 
       
       • Danach markiere die Zeile für "Radius" und gehe auf "Configure":
         
         Server                   [Gebe die IP des FortiAuthenticators an]
         Shared Secret            [Gebe das Shared Secret an das für den Radius Client auf dem FortiAuthenticator definiert wurde]
         Maschine Identifier      [IP Address Only]
         
         Fortinet-1071.jpg 
       
       • Der nächste Schritt ist Optional und wird dann benötigt wenn der User der einloggt über "pGina" in eine bestimmt Gruppe
         hinzugefügt werden soll. In unserem Beispiel wird "pGina" auf einem Terminal Server benutzt dh. damit die User -die lokal
         nicht existieren sondern beim einloggen angelegt werden- einloggen können müssen diese zur Gruppe "Remote Desktop Users"
         hinzugefügt werden. Um die Konfiguration durchzuführen markiere die Zeile für "Local Machine". Danach gehe auf "Configure":
         
         Je nachdem "was" für Software installiert wird und je nachdem über welche Rechte die User verfügen sollen muss die "reguläre" 
         Gruppe "Users" ebenfalls hinzugefügt werden!
         
         Fortinet-1072.jpg 
       
       • Nun muss als nächsten Schritt die Authentifizierungs Reihenfolge geändert werden dh. von "Local Maschine" auf "Radius". 
         Dazu wähle den Register "Plug-In Order" und verändere entsprechend die Reihenfolge:
        
         Fortinet-1073.jpg
        
       • Nun muss verhindert werden, dass die lokale Authentifizierung auf dem Windows Server berücksichtigt wird resp. unterdrückt
         wird. Dazu wähle den Register "Credential Provider Options" und führe folgende Konfiguration durch:
        
         Fortinet-1074.jpg
         Windows Group Policy Konfiguration:
       
       • Damit die RDP Verbindung im Zusammenhang mit dem Windows Terminal Server sowie "pGina" funktioniert muss die RDP Verbindung
         betreffend Verschlüsselung auf "Low Level" gesetzt werden. Dazu führe als Administrator folgendes aus:
         
         Start > Run > GPedit.msc
         
         Wähle die entsprechende Position gemäss Abbildung und danach setzt für die Verbindung resp. Encryption "Low Level":
         
         Fortinet-1075.jpg
         
         Fortinet-1076.jpg
       
       • Als Letzteres muss die Password Komplexität deaktiviert werden ansonsten erscheinen Fehlermeldungen unter "pGina" im Register
         "Simulation". Die Passwort Komplexität wird über den FortiAuthenticator gesteuert unter "Authentication > User Account Policies >
         Passwords". Wähle gemäss Abbildung die entsprechende Position und setze diese auf Disabled:
        
         Fortinet-1077.jpg
         Testen der pGina Funktion:
       
       • Nun kann das "pGina" Radius Plug-In getestet werden dh. Vorraussetzung dafür ist:
         
         --> Korrekt erfasster (Preshared Secret und IP) Radius Client (Windows Server) auf dem FortiAuthenticator
         --> Existierender User auf dem FortiAuthenticator der in einer entsprechenden Gruppe Mitglied ist und diese für den Radius Client konfiguriert ist
         
         Im "pGina" Plug-In gehe nun auf den Register "Simulation" und gebe dort den entsprechenden Username und Passwort ein. Danach gehe
         auf den "grünen Pfeil" neben den Passwort. Die Werte werden abgespeichert und die Verbindung getestet. Im Bereich "Results" wird 
         ein erfolgreicher Test protokolliert. Details dieses Test können unter "Show Log" eingesehen werden.

Messsaging Service/Server

Wie kann ich auf einem FortiAuthenticator ein SMTP Server Konfigurieren für Versendung von Email Nachrichten?

Ein SMTP Server der dazu dient EMails für die Services auf einem FortiAuthenticator zu versenden wie zB für Two-Factor kann unter folgender Position definiert werden:

       System > Messaging > SMTP Servers > Create New
       Fortinet-1008.jpg

Ein entsprechender Server kann als "Default" definiert werden. Dies bedeutet: Wenn zwei SMTP Server konfiguriert werden und einer dieser als "Default" definiert wird gilt dieser der nicht als "Default" definiert als "Fallback" SMTP Server:

       Fortinet-1009.jpg

Der neu erfasste "SMTP Server" muss/kann nun für den E-Mail Service betreffend User/Administratoren zugewiesen werden! Wird dies nicht explizit durchgeführt gilt die Definitin des "Default Server". Die Konfiguration wird unter folgende Position durchgeführt:

       Fortinet-1036.jpg

Wie kann ich auf einem FortiAuthenticator ein SMS Gateway konfigurieren für die Versendung von SMS Nachrichten?

Wenn auf dem FortiAuthenticator für die Two-Factor Authentication SMS Nachrichten versendet werden sollen, stehen folgende Protokolle zu Verfügung:

  • SMTP
  • HTTP (Get oder Post)
  • HTTPS

Die bevorzugte Variante ist HTTP oder HTTPS. Der Grund ist der folgende: Die Nachrichten werden für HTTP/HTTPS direkt beim SMS Provider abgesetzt und müssen nicht wie bei der SMTP Methode zuerst über Mailgateways versendet werden. Somit ist die Zustellung zuverlässiger und schneller. Wenn man sich dennoch für die SMTP Methode entscheidet wird das folgendermassen konfiguriert:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:
  1. Im Menu System->Messaging->SMS Gateway -> Create New
Fortinet-2703.jpg
Fortinet-2706.jpg
  1. Name definieren
  2. SMTP bei der Option Protocol: selektieren.
  3. bei SMTP server den Konfigurierten SMTP Server auswählen
  4. Die Felder mit den Variabeln gemäss Bild eintragen
  5. Unter Email Preview: kann man sehen wie die SMS ausgeliefert wird.
Fortinet-1010.jpg
Fortinet-2702.jpg

Bei der Definierung der Position "Mail-to-SMS gateway" muss darauf geachtet werden, dass evtl. die Variable "{{:country_code}} VOR der Variable {{:mobile_number}} gesetzt wird. Die Einstellungen können über die Position "E-mail Preview" kontrolliert werden:

Fortinet-1011.jpg
Fortinet-2707.jpg

Wie gesagt die bevorzugte Variante wäre HTTP Get resp. HTTPS Get. Der Vorteil dieser Art und Weise der SMS Übermittlung liegt daran, dass die SMS Auslösung in "Echtzeit" geschieht. Dies bedeutet: Das SMS wird über z.Bsp über "HTTP Get/Post" direkt über eine URL beim Provider abgesetzt resp. ausgelöst und muss nicht über Email zuerst ausgelöst und zum Provider übermittelt werden (Zeitverzögerung). Eine "HTTP Get" Implementierung unterscheidet sich nicht gegenüber einer "HTTPS Get" Implementierung dh., dass ausser bei "HTTPS Get" das "Trusted Certificate" des SMS Providers in der CA des Authenticators eingelesen werden muss:

       Certificate Management > Certifcate Authorities > Trusted CAs > Import

Nachdem das entsprechende Zertifikat importiert wurde kann dieses nachträglich in der SMS Gateway Konfiguration unter "CA certificate" konfiguriert werden. Von einer "HTTP Post" Implementierung ist abzusehen da die Kompatibilität gegenüber den Providern mehrheitlich nicht gegeben ist. Ebenso sprechen div. "Security Aspekte" nicht für eine HTTP Post Implementierung. Hinsichtlich, dass für die Übermittlung ein "Username" und "Passwort" übermittelt werden muss ist es empfehlenswert "HTTPS Get" zu benutzen um das Passwort nicht "clear-text" übermitteln zu müssen. Grundsätzlich funktioniert die Übermittlung anhand einer URL dh., man bekommt vom Provider eine Seite/Funktion über dessen URL ein SMS abgesetzt werden kann. Es gilt nun diese URL in ihre Bestandteile zu zerlegen und die einzelnen Funktionen dem "FortiAuthenticator" unter "SMS Gateway" mitzuteilen. Wenn dies korrekt durchgeführt wurde, wird dies über "URL Preview" in der Konfiguration angezeigt und kann getestet werden. Im nachfolgenden Beispiel, einer Implementierung des Providers, sieht die URL folgendermassen aus:

Konfig Parameter für Dolphin System AG:

Infos über Dolphin Systems AG findet man auf der Page http://www.dolphin.ch

URL Preview:  
http://www.ecall.ch/ecallurl/ecallurl.ASP?'''WCI=Interface'''&'''Function=SendPage'''&'''Address=0041795555555'''&'''Message=Test'''&'''AccountName=Username'''&'''AccountPassword=Password'''

In diesem Beispiel sind die relevanten Funktionen:

Variabel: Inhalt:
API URL www.ecall.ch/ecallurl/ecallurl.ASP

WCI

Interface

Function

SendPage

Address

Mobile Nummer mit Landesvorwahl

Message

Nachricht die Übermittelt werden soll

AccountName

Username des Accounts beim SMS Provider

AccountPasswort

Passwort des Accounts beim SMS Provider

Diese Informationen müssen nun dem "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:
Fortinet-1012.jpg
Fortinet-2704.jpg

Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Dolphin Systems AG" folgender Code: ResultPage\sResultCode:0

Konfig Parameter für Truesenses:

Infos über Truesenses findet man auf der Page: http://www.truesenses.com

URL Preview:  
http://www.truesenses.com/cgi-bin/smsgateway.cgi?'''CMD=SENDMESSAGE'''&'''NUMBER=0041795555555'''&'''MESSAGE=Test'''&'''ACCOUNT=Username'''&'''PASSWORD=Password'''

In diesem Beispiel sind die relevanten Funktionen:

Variabel: Inhalt:
API URL www.truesenses.com/cgi-bin/smsgateway.cgi

CMD

SENDMESSAGE

NUMBER=

Mobile Nummer mit Landesvorwahl

MESSAGE

Nachricht die übermittelt werden soll

ACCOUN

Username des Accounts beim SMS Provider

PASSWORD

Passwort des Accounts beim SMS Provider

Diese Informationen müssen nun dem "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:
Fortinet-1013.jpg
Fortinet-2705.jpg

Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Truesenses" folgender Code: 01 SENT

Wo kann ich auf einem FortiAuthenticator das Token Timeout für einen SMS/SMTP Gateway konfigurieren?

Der Token der über einen entsprechenden Konfigurierten SMS und/oder SMTP Gateway versendet wird beinhaltet ein Timout dh. Die definierte Zeit wie lange ein Token für ein Login Zur Verfügung steht, nachdem er vom FortiAuthenticator über den entsprechenden SMS und/oder SMTP Gateway versendet wurde. Das Token Timeout lässt sich auf einem FortiAuthenticator über folgende Menüposition Konfigurieren:

Config webgui.png Konfiguration über das WebGui:

FortiOS 4.x/5.x:
Im OS 4.x oder 5.x kann über das Menu Authentication > User Access Policies > Tokens > Email/SMS die Timeouts konfiguriert werden:

Fortinet-2197.jpg

FortiOS 6.x:
Im OS 6.x kann über das Menu User Account Policies -> Tokens die Timeouts konfiguriert werden:

  1. Im Feld FortiToken der Menüpunkt TOTP authentication window kann der Wert für die FortiToken Timeouts konfiguriert werden. Default ist 1 Minute eingestellt. Möglich ist 1 Minute - 60 Minuten.
  2. Unter Email/SMS kann der Token Timeout in Sekunden (10-3600) angepasst werden.
Fortinet-2676.jpg
Tipp.png

Beachte auch folgenden Artikel:
Token Time out auf FortiGate anpassen

Wie konfiguriere ich einen User mit SMS Authentifizierung auf dem FortiAuthenticator?

Config webgui.png Konfiguration über das WebGui:

Einen User eröffnen: (Wir eröffnen jetzt einen Lokalen User, die Prozedur um den Token beim User hinzuzufügen basiert auf dem selben Prinzip.

  1. Über das Menu Authentication->User Management->Local Users -> Createnew.jpg einen neuen User erstellen.
  2. Den User erfassen mit Username und Passwort (Passwort muss mindestens 8 Zeichen lang sein.
Fortinet-2708.jpg

Nun wird dem User der SMS Token hinzugefügt. Dafür müssen wir den User editieren.

  1. Wieder über das Menu Authentication->User Management->Local Users -> den entsprechenden User editieren.
  2. Unter User Information kann jetzt die Mobile Nummer des Users hinzugefügt werden. Dabei ist auf das Format zu achten: +Landesvorwahl-Mobilenummer Der Bindestrich zwischen Landesvorwahl und Mobilenummer ist wichtig!
  3. Beim SMS Gateway kann der SMS Provider ausgewählt werden. Wie man einen SMS Provider konfiguriert, kann im folgenden Beitrag nachgelesen werden: SMS-Gateway konfigurieren
  4. Nun kann die Option Token-based authentciation angewählt werden und die Erfasste Mobile Nummer unter dem Punkt SMS (MobileNummer in Klammer) selektiert werden.
  5. Wenn gewünscht, kann über den Test Token' Button noch eine Test SMS versendet werden.
Fortinet-2709.jpg

Ergebnis:
Wenn sich jetzt der entsprechende User mit Benutzername und Passwort authentifiziert, bekommt er noch als OTP eine SMS auf das Mobile gesendet, das in etwa so aussieht:

Fortinet-2710.jpg

Radius Attributes

Wie Konfiguriere ich auf einem FortiAuthenticator Radius Attributes?

Im Zusammenhang mit einer Radius Authentifizierung können verschiedene Radius Attributes verwendet werden. Diese Radius Attributes werden auf einem Radius Server zB FortiAuthenticator für eine User Authentifizierung dem Radius Client zB einem FortiGate Device nach erfolgreicher Authentifizierung mitgegeben/zurückgesendet damit der Radius Client basierend auf diesen Radius Attributes Aktionen, Zugehörigkeit etc. Ausführen kann. Weitere Informationen zu den Radius Attributes findet man unter folgenden Link:

      https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service

Für Radius Attributes Konfiguration stehen etliche Vendor Specific Attributes zur Verfügung die in verschiedenster Art und Weise verwendet werden können. Für ein praktisches Anwendungsbeispiel im Zusammenhang mit einer SSL-VPN Authentifizierung für einen FortiGate Device siehe nachfolgender Artikel:

       FortiGate-5.4-5.6:FAQ#Wie_konfiguriere_ich_auf_einer_FortiGate_unter_FortiOS_5.4_eine_.22Radius.22_Authentifizierung_inkl._Radius_Attributes.3F

Radius Attributes können auf einem FortiAuthenticator für User, Gruppen sowie für Radius Clients Konfiguriert werden. In erster Linie wird empfohlen Radius Attributes in Gruppen zu verwenden:

       Authentication > User Management > User Groups
       Fortinet-2179.jpg
       Fortinet-2180.jpg
       Fortinet-2181.jpg
       Fortinet-2182.jpg

In diesem Beispiel wird als Radius Attribute Vendor Spezifisch "Fortinet" gewählt sowie "Fortinet-Group-Name". Dazu wird der Gruppen Name des FortiGate Devices Konfiguriert anhand "gr-admin". Somit wird eine Authentifizierung ausgeführt und der entsprechende User befindet sich in dieser Gruppe wird als Radius Attribute dem FortiGate Device zurück gemeldet "member of gr-admin". Wie schon erwähnt können Radius Attributes ebefenfalls für User sowie innerhalb eines Radius Client Konfiguriert werden. User basierende Attributes könne nur dann Konfiguriert werden wenn die "Role" des Users nicht auf "Administrator" Konfiguriert wurde:

       Authentication > Local Users > [Wähle einen entsprechenden User] > RADIUS Attributes
       Fortinet-2183.jpg

Wenn ein Radius Attribute innerhalb einer Radius Client Konfiguration defniert werden soll kann dies unter folgender Position durchgeführt werden:

       Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Radius Client] > Apply this profile based on RADIUS attributes
       Fortinet-2184.jpg

Backup/Restore

Wie kann ich für einen FortiAuthenticator ein Backup/Restore ausführen?

Ein manuelles Backup und/oder Restore kann unter folgender Position erstellt werden:

       System > Dashboard > Status > System Information > System Configuration > Backup/Restore
       Fortinet-1005.jpg
       Fortinet-1006.jpg

Ein Backup eines FortiAuthenticator besteht aus einem ".conf" File. Dieses File ist jedoch nicht editierbar und/oder leserlich sowie ist ein "binary" File.

Wie kann ich auf einem FortiAuthenticator ein Backup Automatisieren?

Ein Backup für einen FortiAuthenticator lässt sich über "FTP/SFTP" Automatisieren und zwar über folgende Position:

       System > Administration > Config Auto-backup
       Fortinet-2174.jpg

Der entsprechende FTP Server der unter der gezeigten Position gewählt werden muss, kann über folgende Position konfiguriert werden:

       System > Administration > FTP Servers > New
       Fortinet-1007.jpg

Monitor

Wie kann ich auf einem FortiAuthenticator User Monitoren betreffend deren Status zB Inaktive, Lockout?

Folgende Monitoring Position ermöglichen einen Ueberlick zu geben über "Windows AD" User, "Inaktive User" oder "Lockout Users:

       Monitor > Authentication > [Wähle die entsprechende Position]
       Fortinet-1060.jpg

Logging

Wo sehe ich das Log eines FortiAuthenticators?

Wie finde ich auf einem FortiAuthenticator dessen Log?

Das Log eines FortiAuthenticators befindet sich unter folgender Position:

       Logging > Log Access > Logs
       Fortinet-1054.jpg

Wenn ein Log-Eintrag gewählt wird so werden die Details auf der rechten Seite angezeigt! Jede Authentifizierung löst im Log einen entsprechenden Log Eintrag oder mehrer entsprechende Log Einträge aus.

Wie kann ich für einen FortiAuthenticator dessen Logs Automatisiert auf einen Remote Server Transferieren?

Um die Logs eines FortiAuthenticators automatisiert auf einen FTP/SFTP zu übermittelnt kann folgendes Konfiguriert werden:

       Logging > Log Config > Log Setting
       Fortinet-1055.jpg

In dieser Konfiguration muss ein entsprechender FTP/SFTP Server angegeben werden. Diese Konfiguration eines FTP/SFTP Server kann über folgende Position durchgeführt werden:

       System > Administration > FTP Servers
       Fortinet-1056.jpg

Wie kann ich auf einem FortiAuthenticator dessen Logs Automatisiert und Zeitbasierend Löschen?

Der FortiAuthenticator verfügt über eine "autodeletion" Funktion betreffend seinen Logs. Diese Konfiguration befindet sich unter folgender Position:

       Logging > Log Config > Log Setting
       Fortinet-1057.jpg

In diesem Zusammenhang mit der "autodeletion" Funktion sollte berücksichtigt werden, dass die Logs ebenfalls auf einen Remote Server gespielt werden können dh. Diese zwei Funktionen ergänzen sich und können gemeinsam benutzt werden. Weitere Informationen zur Funktion der Transferierung der Logs auf einen Remote Server findet man im nachfolgenden Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_dessen_Logs_Automatisiert_auf_einen_Remote_Server_Transferieren.3F

Wie kann ich auf einem FortiAuthenticator für dessen Logs ein Syslog Server Konfigurieren?

Der FortiAuthenticator bietet die Funktion seine Logs einem Syslog Server zu übermitteln. Unter folgender Position wird ein Syslog Server Konfiguriert:

       Logging > Log Config > Syslog Servers
       Fortinet-1058.jpg

Nach der Definition eines Syslog Servers kann die Syslog Funktion über folgende Position aktiviert werden:

       Logging > Log Config > Log Setting
       Fortinet-1059.jpg

Dabei ist zu berücksichtigen, dass ein FortiAuthenticator seine Logs über Syslog auch einen FortiAnalyzer senden kann dh. im FortiAanlyzer wird der FortiAuthenticator zur Syslog Funktion hinzugefügt. Ab FortiAuthenticator 4.2 im Zusammenhang mit einem FortiAnalyzer 5.4.2 können die Logs des FortiAuthenticator direkt zum FortiAnalyzer gesendet werden dh. nicht mehr unter Benutzung eines Syslog Server. Weitere Informationen siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_dessen_Logs_ein_FortiAnalyzer_Konfigurieren.3F

Wie kann ich auf einem FortiAuthenticator für dessen Logs ein FortiAnalyzer Konfigurieren?

Bis FortiAuthenticator 4.1 war es nur möglich anhand einer Syslog Konfiguration die Logs zu einem FortiAnalyzer zu senden. Weitere Informationen wie dies zu Konfigurieren ist siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_dessen_Logs_ein_Syslog_Server_Konfigurieren.3F

Ab FortiAuthentictor 4.2 steht nun explizit eine Konfiguration für einen FortiAnalyzer zur Verfügung die benutzt werden ab FortiAnalyzer 5.4.2 Build 1117. Diesen Konfigurationspunkt findet man unter folgendem Menüpunkt:

       Logging > Log Config > Log Setting > FortiManager/FortiAnalyzer
       Fortinet-2198.jpg

Debug

Wie komme ich im FortiAuthentikator in den Debug Modus?

Um in den Debug Modus des FortiAuthentikators zu gelangen, muss folgende URL im Browser eingegeben werden:

       https://<IP-Adresse-FAC>/debug

Es können nun verschiedene Debug Logs ausgewählt werden:

Konfiguration über das WebGui

Fortinet-1937.jpg

Es kann noch in einen erweiterten Debug Modus eingewählt werden, von welchem aus mann noch mit Username und Passwort tests durchführen kann:

Konfiguration über das WebGui

Fortinet-1938.jpg

Wen man im erweiterten Debug Modus eingelogt ist, wird dies durch den Hinweis Debugging mode active angezeigt. Es kann jetzt ein Username und Passwort eingegeben werden um entsprechende Users zu überprüfen.

Konfiguration über das WebGui

Fortinet-1935.jpg

Hier sehen wir einen Output im debug Modus:

Konfiguration über das WebGui

Fortinet-1936.jpg

Der ganze Output kann in der Menuleiste über das Symbol Fortinet-1939.jpg heruntergeladen werden und so für Auswertungen und Analysen benutzt werden.

CLI

Welche Kommandozeilen Basierte Kommandos stehen auf einem FortiAuthenticator zur Verfügung?

Auf einem FortiAuthenticator kann nachdem erfolgreichen Login anhand "help" der zur Verfügung stehenden Befehlsatz abgerufen werden:

       > help
       
       FortiAuthenticator Console
       General:
               help            Display this text.
               ?               Synonym for `help'.
               exit            Exit from the CLI.
       Configuration:
               show            Show bootstrap configuration.
               set             Set configuration parameter (set <attribute> <value>).
                               Available attributes/values for set:
       
                                       port1-ip         <IP/netmask>
                                                         e.g. port1-ip 1.2.3.4/24
                                       default-gw       <IP>
                                       date             <YYYY-MM-DD>
                                       time             <HH:MM:SS>
                                       tz               <timezone_index>
                                                         e.g. tz 4
                                       ha-mode          <enable|disable>
                                       ha-port          <interface name>
                                       ha-priority      <high|low>
                                       ha-mgmt-ip       <IP/netmask>
                                                         e.g. ha-mgmt-ip 1.2.3.4/24
                                       ha-mgmt-access   <ssh|https|http|telnet>
                                                         e.g. ha-mgmt-access ssh http
                                       ha-dbg-level     <level>
                                                         levels: -4 (Fatal) -> 4 (Debug high), default: -2 (Warn)
       
               unset           Unset configuration parameter (unset <attribute>).
                               Available attributes for unset:
       
                                       port1-ip        
                                       default-gw      
                                       ha-mgmt-ip      
                                       ha-mgmt-access  
       
       System:
               reboot          Reboot the FortiAuthenticator.
               factory-reset   Reformats harddisk and resets configuration to factory defaults.
               shutdown        Shutdown the FortiAuthenticator.
               status          Display system status information.
               ha-rebuild      Rebuild an HA node from the peer's database.
               restore-admin   Enable default admin access methods on port1.
       Utilities:
               dig             Advanced tool for DNS debugging.
               nslookup        Basic tool for DNS debugging.
               ping            Test network connectivity to another network host.
               tcpdump         Examine local network traffic.
               traceroute      Examine route taken to another network host.
       Diagnostics:
               hardware-info   Display general hardware status information.
               disk-attributes Display system disk attributes.
               disk-errors     Display any system disk errors.
               disk-health     Display disk health information.
               disk-info       Display disk hardware status information.
               raid-hwinfo     Display RAID hardware status information.