FortiAuthenticator:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiAuthenticator:FAQ

FAQ-FortiAuthenticator.png
Wichtig.svg

Ich weiss, dieses FAQ ist ziemlich veraltet – es ist, als würde man einen antiken Schatz ausgraben! Aber keine Sorge, ich arbeite fleissig daran, alle Artikel, Dokumente und Bilder auf den neuesten Stand zu bringen. Danke für deine Geduld, bald wird alles funkeln wie neu!

add 26.06.2024 - 4Tinu

Vorwort

Diese FAQ's sind für FortiAuthenticator Systeme basierend auf OS 3.x/4.x

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

License

Dokumentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Über den folgenden internen Link findest du Datasheets und Quick Start Guide von den FortiAuthenticator Produkten:

Auf der folgender Seite findest du diverse technische Dokumente, welche Fortinet dir zu Verfügung stellt:

Unter dem folgenden Link findest du die Knowledgebase von Fortinet über das Thema FortiAuthenticator:


edit 28.06.2024 - 4Tinu

Wo finde ich die Admin Guides fuer den FortiAuthentikator?

Im Admin Guide werden alle Funktionen beschrieben und wie diese Konfiguriert werden.

Version 4.x

Version 5.x

Version 6.x

Den aktuellen Adminguide kann jeweils auf den Docs heruntergeladen werden:


edit 23.09.2024 - 4Tinu

Wo finde ich die REST API Solutions Guides fuer den FortiAuthentikator?

Dieses Dokumente stellen die FortiAuthenticator REST API vor und beschreiben, wie diese konfiguriert und genutzt werden können.

Legacy Dokumente:

Version 6.x:

Die aktuellen REST API Solutions Guides können jeweils auf den Docs heruntergeladen werden:


edit 23.09.2024 - 4Tinu

Wo finde ich Guides um SAML mit Fortinet Produkten zu konfigurieren?

Diese Handbücher sollen bei der Konfiguration der Security Assertion Markup Language (SAML)-Authentifizierung mit dem FortiAuthenticator für Fortinet-Lösungen helfen.

Die aktuellen Dokumente können jeweils auf den Docs heruntergeladen werden:


add 27.06.2024

Wo finde ich Konfigurationsbeispiele fuer den FortiAuthentikator?


add 23.09.2024

Wo finde ich Dokumente fuer den Windows Agent vom FortiAuthentikator?

Kompatibilitätsübersicht Windows Agent und FortiAuthenticator Versionen:

MSAgent-FAC-Compatibility.png

* FortiAuthenticator 6.4.1 und höher ist erforderlich, um den Offline-Notfallzugang zu nutzen. FortiAuthenticator 6.4.0 und niedriger sind für alle anderen Funktionen kompatibel.
♦ FortiAuthenticator 6.4.2 und höher erforderlich, um die volle Unterstützung für den lokalen PC-Benutzer zu aktivieren.

Installation Guide für den Windows Agent:

Release Notes für den Windows Agent:

Installation Guide für Microsoft OWA Agent:

Release Notes Guide für Microsoft OWA Agent:


add 28.06.2024 - 4Tinu

Wo finde ich Dokumente ueber das IAM Konzept mit dem FortiAuthentikator?

Die Architektur des Identitäts- und Zugriffsmanagements (IAM) umfasst viele Aspekte der IT-Systeme eines Unternehmens, darunter Systeme wie Personalwesen (HR), E-Mail, Telefon, interne Anwendungen und SaaS-Anwendungen, die alle mit IAM ineinandergreifen.

IAM Konzept Guide:

IAM Architektur Guide:


add 28.06.2024 - 4Tinu

Hardware

Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer FortiAuthenticator Hardware?

Weitere Informationen siehe folgender Artikle:

       FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F

Private Cloud

Was sind für den FortiAuthenticator VMware basierend die System Anforderungen?

Der FortiAuthenticator für VMware hat die folgenden Systemanforderungen:

Betriebssystem:

  • Unterstützt VMware ESXi Version 5.0 oder höher.

CPU:

  • Mindestens 2 vCPUs, empfohlen werden 4 vCPUs für optimale Leistung.

RAM:

  • Minimum 4 GB RAM, empfohlen werden 8 GB RAM, abhängig von der Anzahl der zu authentifizierenden Benutzer.

Festplattenspeicher:

  • Mindestens 40 GB Festplattenspeicher für die Basisinstallation.
  • Zusätzlicher Speicherplatz erforderlich für Logs und Datenbank-Backups, empfohlen werden 100 GB oder mehr.

Netzwerk:

  • Mindestens 1 vNIC, empfohlen werden 2 vNICs für eine redundante Netzwerkanbindungen.
  • falls erforderlich werden auch VLANs und das Trunking unterstützt.

Kompatibilität:

  • Kompatibel mit FortiGate Firewalls und anderen Fortinet-Geräten für nahtlose Integration. (Fabric)
  • Unterstützung für gängige Authentifizierungsprotokolle wie RADIUS, LDAP und 802.1X.

Software:

  • FortiAuthenticator Firmware Version 5.4 oder höher.

Zusätzliche Anforderungen:

  • Zugriff auf VMware vSphere Client für Installation und Verwaltung.
  • Netzwerkzugriff für die Kommunikation mit anderen Netzwerkgeräten und Authentifizierungsservern.
  • Ein gültiges FortiAuthenticator Lizenzmodell basierend auf der Anzahl der zu authentifizierenden Benutzer.
  • Stelle sicher, dass alle diese Anforderungen erfüllt sind, um eine reibungslose und effiziente Funktion des FortiAuthenticator in deiner VMware-Umgebung zu gewährleisten.
Fortinet-996.jpg

edit 08.07.2024 - 4Tinu

Wie wird ein FortiAuthenticator auf der Private Cloud installiert?

Die nachfolgenden Dokumente können für die Installation des FortiAuthenticator in der Private Cloud für die gewünschte Plattform zu Rate gezogen werden.

Es werden folgende Plattformen unterstützt:

Fortinet-3414.jpg

Im Admin Guide der entsprechenden Plattform ist jeweils eine Installationsanleitung drin: (Siehe Kapitel FortiAuthenticator-VM Deployment)

Die Aktuellen Dokumente findet man jeweils auf den Docs:


edit 05.07.2024 - 4Tinu

Wie registriere ich eine Lizenz fuer eine Private Cloud FortiAuthenticator Installation?

Wenn du einen FortiAuthenticator für VMware ohne Lizenz installierst, fällt dir vielleicht auf, dass er keine Seriennummer hat. Diese Seriennummer wird erst bei der Erstellung der Lizenz im Support-Portal anhand der IPv4-Adresse generiert. Das bedeutet, dass du bei der Lizenzlieferung ein Dokument wie dieses erhältst:

Fortinet-3415.jpg

In diesem Dokument findest du einen "Registration Code". Mit diesem "Registration Code" führst du die Registrierung im Support-Portal durch. Um die Registrierung durchzuführen, logge dich mit deinem Benutzernamen und Passwort im Support-Portal ein, in dem der FortiAuthenticator registriert werden soll:

Die folgenden Abbildungen zeigen den Vorgang anhand eines FortiAnalyzers. Der Prozess für einen FortiAuthenticator ist identisch:

Config webgui.png Registrierung im Supportportal:

Navigiere über ServicesAsset Management

Fortinet-2932.jpg

Um den FortiAuthenticator jetzt zu registrieren, folgendermassen vorgehen:

Fortinet-2933.jpg
  1. Auf Register Product klicken
  2. Produkte Key aus dem PDF eingeben
  3. Wenn es sich um keine Behörde handelt, A non-government user auswählen
  4. mit Next um weiter zu zu gehen.
Fortinet-2937.jpg
  1. Produkte Beschreibung im Description Feld eingeben
  2. Falls verfügbar den entsprechenden Partner (Kundenaccount) auswählen
  3. Die IP Adresse des FortiAnalyzers eingeben (Management IP)
  4. mit Save Einstellungen bestätigen

Lade das "License File" herunter, das auf dem FortiAuthenticator eingespielt werden muss.

Fortinet-3416.jpg
  1. Hier kann das Lizenzfile heruntergeladen werden um in den FortiAuthenticator eingelesen zu werden
  2. Hier siehst du die Lizenznummer aus deinem Lizenzierungsdokument welches du von Fortinet bekommen hast.

Der Registrierungsprozess ist nun abgeschlossen und die Seriennummer des FortiAuthenticators ist im License File enthalten.


edit 05.07.2024 - 4Tinu

Wie wird ein Lizenzfile im FortiAuthenticator eingelesen?

Config webgui.png Konfiguration über das WebGui:

Das License File kannst du nun auf dem FortiAuthenticator einspielen unter: SystemAdministrationLicensing

Fortinet-3417.jpg 
  1. Das Lizenz File auswählen
  2. Upload Prozess starten
  3. Der FortiAuthenticator wird neu starten nach dem Uploaden des Files

Nachdem du die Lizenz eingespielt hast, werden die Dienste des FortiAuthenticators neu gestartet. Nach dem erneuten Einloggen kannst du die Seriennummer der Installation hier einsehen: SystemDashboardvStatusSystem InformationSerial Number

Fortinet-3418.jpg  

Diese Seriennummer identifiziert deine Installation bei Support-Fällen bei Fortinet und muss bei einem Support Case angegeben werden. So hast du deinen FortiAuthenticator vollständig lizenziert und bist bereit für den Support!


edit 05.07.2024 - 4Tinu

Upgrade

Wie kann ich auf einem FortiAuthenticator ein Upgrade durchführen?

Ein FortiAuthenticator lässt sich über das Mgmt. Web Interface auf den neusten Stand bringen. Für einen kompletten upgrade kann folgendermassen vorgegangen werden:

Config webgui.png Konfiguration über das WebGui:
Fortinet-1902.jpg 

Über das Support Portal von Fortinet https://fortinet.support.ch kann die entsprechende Software heruntergeladen werden. Nach dem Einloggen auf DownloadFirmware Images navigieren. Bei Select Product den FortiAuthenticator auswählen. Nun kann über Download die entsprechende Firmware heruntergeladen werden. Im Tab Release Notes kann das aktuelle Release Note File heruntergeladen werden. Wir empfehlen vor einem Upgrade diese genau zu studieren. Die Release Notes enthalten auch Informationen, von welcher Version auf welche ohne probleme upgegradet werden kann.

Fortinet-1903.jpg   

Hier kann die entsprechende Datei zum gewünschten Produkt heruntergeladen werden. Über den https Link bekommt man die Datei, über Checksum kann die Checksume der Datei vergliechen werden.

Fortinet-1901.jpg
  • Auf dem FortiAuthentikator im Kopfmenu auf der rechten Seite auf den Admin User klicken. (In unserem Beispiel Admin)
  • Nun kann der Menupunkt Upgradeausgewählt werden.
  • Über den Button Uploade a file kann das gewünschte Image auf den FortiAuthenticator hochgeladen werden
Fortinet-1904.jpg
  • Die entsprechende Datei auswählen und mit OK wird der Upload der Datei wird gestartet
Fortinet-1905.jpg

Es gibt je nach Browser eine Sicherheitsabfrage, ob man die Datei wirklich hochladen will. Diese gilt es zu bestätigen:

Fortinet-1906.jpg

während des Uploads erfolgt eine Meldung, dass dieser Vorgang nicht unterbrochen werden soll.

Nun kann der Upgrade gestartet werden, indem man die gewünschte OS Version auswählt. (Im Normalfall die, welche man hochgeladen hat)

Fortinet-3396.jpg

Bevor der Update startet, muss ein Backup erstellt werden Backup and Upgrade

Fortinet-1907.jpg
Fortinet-1908.jpg  
  • Während des Upgrades, wird eine Meldung angezeigt, dass der Prozess am Laufen ist.
  • Nach erfolgreichem Upgrade wird der FortiAuthentikator automatisch neu gestartet.
Fortinet-3397.jpg
  • Nach dem Reboot ist der FortiAuthentikator auf der neuen Version wieder Einsatzbereit.
Wichtig.svg

Zusätzlich wenn von der Version 2.x ein Upgrade auf 3.x durchgeführt wird muss folgende Information berücksichtigt werden:

Vor dem Upgrade ist es wichtig die entsprechenden Release Notes zu lesen und studieren:


edit 21.06.2024 - 4Tinu

Wo finde ich die Legacy Release Notes des FortiAuthenticator?






Software Life Cycel FortiAuthenticator bis und mit GA 6.0

Software Version Release Datum (GA) End of Engineering Support Datum (EOES) End of Support Datum (EOS)
2.0 19.04.2012 24.10.2024 24.04.2017
2.1 28.02.2013 28.02.2016 28.08.2017
3.0 22.10.2013 22.10.2016 22.04.2018
3.1 17.06.2014 22.10.2017 17.12.2018
3.2 22.10.2014 22.10.2017 22.04.2019
3.3 05.02.2015 05.02.2018 05.08.2019
4.0 30.07.2015 30.07.2018 30.01.2020
4.1 31.03.2016 31.03.2019 30.09.2020
4.2 10.11.2016 10.11.2019 10.05.2021
4.3 10.30.2017 30.06.2020 10.09.2021
5.0 30.06.2017 30.06.2020 30.05.2022
5.1 03.11.2017 03.11.2020 30.05.2022
5.2 05.01.2018 05.01.2021 05.07.2022
5.3 07.05.2018 15.08.2021 07.11.2022
5.4 15.08.2018 15.08.2021 15.02.2023
5.5 19.11.2018 19.11.2021 19.05.2023
6.0 14.03.2019 14.03.2022 14.09.2023

edit 26.06.2024 - 4tinu

Wo finde ich die 6.1.x Release Notes des FortiAuthenticator?

Software Life Cycel FortiAuthenticator GA 6.1

Software Version Release Datum (GA) End of Engineering Support Datum (EOES) End of Support Datum (EOS)
6.1 30.03.2020 30.03.2023 30.09.2025

edit 26.06.2024 - 4tinu

Wo finde ich die 6.2.x Release Notes des FortiAuthenticator?

Software Life Cycel FortiAuthenticator GA 6.2

Software Version Release Datum (GA) End of Engineering Support Datum (EOES) End of Support Datum (EOS)
6.2 16.09.2020 16.09.2023 16.03.2025

edit 26.06.2024 - 4tinu

Wo finde ich die 6.3.x Release Notes des FortiAuthenticator?

Software Life Cycel FortiAuthenticator GA 6.3

Software Version Release Datum (GA) End of Engineering Support Datum (EOES) End of Support Datum (EOS)
6.3 22.04.2021 22.04.2022 22.10.2025

edit 26.06.2024 - 4tinu

Wo finde ich die 6.4.x Release Notes des FortiAuthenticator?

Software Life Cycel FortiAuthenticator GA 6.4:

Software Version Release Datum (GA) End of Engineering Support Datum (EOES) End of Support Datum (EOS)
6.4 22.04.2021 06.08.2024 06.02.2026

edit 26.06.2024 - 4tinu

Wo finde ich die 6.5.x Release Notes des FortiAuthenticator?

Software Life Cycel FortiAuthenticator GA 6.5:

Software Version Release Datum (GA) End of Engineering Support Datum (EOES) End of Support Datum (EOS)
6.5 14.02.2022 14.02.2025 14.08.2026

edit 26.06.2024 - 4tinu

Wo finde ich die 6.6.x Release Notes des FortiAuthenticator?


edit 23.09.2024 - 4tinu

Wie kann ich für einen VMware basierenden FortiAuthenticator 2.0 MR2 (2.2.2) ein Upgrade auf Version 3.0 durchführen?

Nein dies ist so direkt nicht möglich Im Gegensatz zur Hardware (Upgrade möglich ab 2.0 MR2 Patch 2 resp. 2.2.2) Variante des FortiAuthenticators dh. der Grund liegt in der Re-Partitionierung der VMware Variante unter 3.0. Dies bedeutet: Eine FortiAuthenticator VMware Installation tiefer als 2.2.3 (2.0 Patch 3) verfügt nicht über die benötigte Partitionierung für ein Upgrade auf 3.0. Dies wiederum bedeuet Folgendes:

       Bevor ein Upgrade auf 3.0 durchgeführt wird, muss auf "jedenfall" ein Upgrade durchgeführt werden auf Relese 2.2.3

Die Version 2.2.3 (2.0 Patch 3) enthält keine neuen Features etc. sondern wurde nur released um der Re-Partitionierung der Version 3.0 Rechnung zu tragen dh. um ein Upgrade auf 3.0 zu ermöglichen! Für weitere Informationen zum Upgrade Prozedere betreffend VMware Variante siehe:

       Datei:FortiAuthenticator-3.0-Release-Notes.pdf
       Datei:FortiAuthenticator-v2.0-MR2-Patch-Release-3-Release-Notes.pdf

Was bedeutet die Popup Meldung beim Einloggen vom FortiAuthentikator?

In den letzten Tagen wird folgende Popup Meldung angezeigt, wenn man sich in den FortiAuthentikator einloggt. Diese Meldung darf auf keinen Umständen ignoriert werden:

Fortinet-1884.jpg

Diese Meldung fordert auf, dass man ein Upgrade machen soll.

Dieses Upgrade auf 5.1 ist notwendig, um ein neues Zertifikat für die Apple Push-Dienste zu erhalten. Wenn dieses Zertifikat nicht erneuert wird, wird die Push-Authentifizierung nicht mehr funktionieren, wenn das aktuelle Zertifikat abgelaufen ist.

  • FAC 4.3.3 Das Zertifikat wird Ordnungsgemäss aktualisiert
  • FAC 5.1.0 Wird mit dem neuen Zertifikat ausgeliefert, aktualisiert sich aber auch selber über das Netzwerkpaket.

Das Upgrade muss bis zum 27.November 2017 durchgeführt werden, damit eine Unterbrechung des Push Benachrichtigungsdienstes vermieden werden kann.

Setup

Was sind die "Maximum Values" eines FortiAuthenticator?

Die Maximum Values eines FortiAuthenticator sind die folgenden:

Wichtig.svg

Die in diesen beiden Tabellen angegebenen Höchstwerte sind maximal konfigurierbare Werte und stellen keine Performance Garantie dar.

Hardware:

Fortinet-957.jpg
Fussnoten:
1 Benutzer umfasst sowohl lokale als auch Remote-Benutzer.
2 FortiToken Mobile-Lizenzen bezieht sich auf die Lizenzen, 
  die auf einen FortiAuthenticator angewendet werden können, nicht auf die 
  Anzahl der FortiToken Mobile-Instanzen, die verwaltet werden können. 
  Die Gesamtzahl ist durch die FortiToken-Metrik begrenzt.
3 Für das Modell 3000E ist die Gesamtzahl der gleichzeitigen ssO-Benutzer 
  auf einen höheren Wert festgelegt, um grossen Bereitstellungen gerecht zu werden.
* Obergrenze
Info.svg

Ähnlich wie bei der FortiAuthenticator-VM können auch bei den FortiAuthenticator-Hardware-Appliances Lizenzen gestapelt werden.

Virtuelle Appliance:

Der FortiAuthenticator-VM wird basierend auf der Gesamtanzahl der Benutzer lizenziert und auf einer Stapelbasis lizenziert.

Jede Installation muss mit einer FortiAuthenticator-VM-Basislizenz beginnen, und Benutzer können mit Upgrade-Lizenzen in Blöcken von 100, 1.000, 10.000 und 100.000 Benutzern gestapelt werden.

Aufgrund der dynamischen Natur dieses Lizenzmodells sind die meisten anderen Metriken relativ zur Anzahl der lizenzierten Benutzer festgelegt.

Die Spalte Calculating metric unten zeigt, wie die Feature-Grösse relativ zur Anzahl der lizenzierten Benutzer berechnet wird.

Beispielsweise beträgt bei einer 100-Benutzer-FortiAuthenticator-VM-Basislizenz die Anzahl der Authentifizierungsclients (RADIUS und TACACS+), die sich am System authentifizieren können:

100 / 3 = 33

Wenn dieses relative System nicht verwendet wird, z.B. bei statischen Routen, wird die Calculating metric mit einem "-" angegeben. Die unterstützten Zahlen werden sowohl für die Basis-VM als auch für ein 5000-Benutzer-lizenziertes VM-System beispielhaft angezeigt.

Fortinet-958.jpg
Fussnoten:
1 Benutzer umfasst sowohl lokale als auch Remote-Benutzer.
2 FortiToken Mobile-Lizenzen bezieht sich auf die Lizenzen, 
  die auf einen FortiAuthenticator angewendet werden können, nicht auf die 
  Anzahl der FortiToken Mobile-Instanzen, die verwaltet werden können. 
  Die Gesamtzahl ist durch die FortiToken-Metrik begrenzt.

edit 08.07.2024 - 4Tinu

Welche Open Ports benützt ein FortiAuthenticator?

Der FortiAuthenticator verwendet beispielsweise den TCP-Port 1812 für die Kommunikation im Zusammenhang mit RADIUS. Das folgende Dokument enthält eine Übersicht über die offenen Ports, die für Fortinet-Produkte wie den FortiAuthenticator verwendet werden:

Nachfolgendes Diagramm zeigt die Open Ports unter FortiOS 5.4. Dieses Diagramm stammt aus dem Handbook FortiOS 5.4:

Fortinet-2047.jpg

Die Aktuellen Dokumente können auf den Docs heruntergeladen werden:


edit 26.06.2024 - 4Tinu

Wie wird ein FortiAuthenticator auf VMware installiert?

Der FortiAuthenticator für VMware wird andhand eines .ovf Files (Deployable Open Virtualization Format) installiert. Für eine Grundinstallation wird das "ovf.zip" File benutzt und nicht das .out File. Das .out" File wird ausschliesslich für Upgrades benutzt. Weitere Informationen und Dokumente betreffend Virtualisierung und Installation findet man auf folgender Seite:

       Fortinet:Virtualisierung

Was muss ich betreffend FortiAuthenticator im Zusammenhang mit einer Two-Factor Authentication beachten?

Wenn du die Zwei-Faktor-Authentifizierung mit dem FortiAuthenticator einsetzt, musst du die Kompatibilität mit anderen Fortinet-Produkten und/oder Fremdprodukten berücksichtigen. Der Grund dafür sind die APIs, die auf diesen Produkten verfügbar sein müssen. Das bedeutet, dass wenn ein Benutzer für die Zwei-Faktor-Authentifizierung konfiguriert ist und Benutzername sowie Passwort eingibt, das API für die Zwei-Faktor-Authentifizierung auf dem entsprechenden Produkt (sei es Fortinet oder ein Fremdprodukt) existieren und korrekt angesprochen bzw. ausgelöst werden muss. Ist diese API nicht vorhanden oder wird sie nicht korrekt angesprochen, kann keine Zwei-Faktor-Authentifizierung durchgeführt werden. Die nachfolgende Tabelle gibt eine Übersicht über Fortinet- und/oder Fremdprodukte:

Fortinet-997.jpg

Weitere Auskunft über Kompatibilität gibt der "Interoperability Guide":


edit 26.06.2024 - 4Tinu

Wie kann ich die Grundkonfiguration des Netzwerks für einen FortiAuthenticator durchführen?

Nach der Installation des FortiAuthenticator kann über die Konsole mit dem Benutzer "admin" eingeloggt werden. Standardmässig ist kein Passwort gesetzt:

Ein FortiAuthenticator verwendet nicht das übliche FortiOS wie beispielsweise eine FortiGate, wodurch der Befehlssatz auf das Wesentliche reduziert ist. Der nachfolgende Artikel bietet detaillierte Informationen darüber, welche Befehle und Funktionen in dieser Kommandozeile zur Verfügung stehen:

Anhand dieser Kommandos kann nur die Grundkonfiguration des Netzwerkes durchgeführt werden:

Config cli.png Konfiguration über die CLI:
 
        FortiAuthenticator login: admin
        Password:
        Welcome to the FortiAuthenticator!
        > 

Netzwerkkonfiguration für FortiAuthentikator ab Version 6.3:

Config cli.png Konfiguration über die CLI:
 
config system interface
edit port1
set ip 198.18.0.14/24
set allowaccess https-gui https-api ssh
next
end

Konfiguration der default Route:

 
config router static
edit 0
set device port1
set dst 0.0.0.0/0
set gateway 198.18.0.1
next
end

Netzwerkkonfiguration für FortiAuthentikator vor Version 6.3:

Config cli.png Konfiguration über die CLI:
 
       > set port1-ip 192.168.1.40/24
       > set default-gw 192.168.1.1

Nun kann man auf das Mgmt. WebInterface zugreifen:

      https://192.168.1.40/

edit 28.06.2024 - 4Tinu

Wie kann ich den Hostnamen eines FortiAuthenticators konfigurieren?

Der Hostnamen für den FortiAuthenticator kannst du folgendermassen konfigurieren:

Config webgui.png Konfiguration über das WebGui: OS 6.x

Im Menu SystemDashboard Status System Information bei Host Name auf [Change] klicken um den Hostname zu editieren

Fortinet-2711.jpg

Für diese Position darf nicht der FQDN definiert werden sondern nur der "hostname". Der DNS Domain Name resp. der FQDN wird unter folgender Position konfiguriert:

Fortinet-2712.jpg

Config webgui.png Konfiguration über das WebGui: OS 4.x/5.x

Im Menu SystemDashboard Status System Information bei Host Name auf [Change] klicken um den Hostname zu editieren

Fortinet-1030.jpg

Für diese Position darf nicht der FQDN definiert werden sondern nur der "hostname". Der DNS Domain Name resp. der FQDN wird unter folgender Position konfiguriert:

Fortinet-1031.jpg


edit 28.06.2024 - 4Tinu

Wie kann ich den FQDN (Fully Qualified Domain Namen) eines FortiAuthenticators Konfigurieren?

Der DNS Domain Name oder auch FQDN des FortiAuthenticator wird unter folgender Position konfiguriert:

       System > Dashboard > Status > System Information > DNS Domain Name
       Fortinet-1032.jpg
       Fortinet-1033.jpg

Nach der Konfiguration des FQDN wird der FortiAuthenticator Service neu gestartet! Diese Definition des FQDN wird im Hintergrund für einige Konfigurationen benutzt. Ein Beispiel wo dieser FQDN benutzt wird ist das Self-Service Portal:

       Authentication > Self-service Portal > General > Site Name

Im Zusammenhang mit dem FQDN des FortiAuthenticators ist nachfolgenden Position ebenfalls wichtig dh. Soll der FortiAuthenticator zusätzlich mit einem anderen FQDN Namen versehen werden für einen zustätzlich Funktion und/oder Service, muss dieser zusätzliche FQND Name unter folgender Position definiert werden:

       System > Administration > [GUI Access / System-Access] > Addtional allowed hosts/domain names
       Fortinet-2156.jpg

Wie kann ich die Timezone sowie Timeserver (NTP) auf einen FortiAuthenticator konfigurieren?

Die Zeitzone und die genaue Zeitsynchronisation spielen bei einem RADIUS-Server eine entscheidende Rolle, insbesondere wenn die Accounting-Funktion genutzt wird. Dies bedeutet, dass sowohl der RADIUS-Server als auch der RADIUS-Client, wie beispielsweise eine FortiGate, über identische Zeitinformationen verfügen müssen. Es ist daher essenziell, dass beide Geräte denselben Zeitserver verwenden, um sicherzustellen, dass die Uhrzeiten auf dem RADIUS-Server und den Clients synchron laufen. Die Konfiguration der Zeitzone sowie die Definition eines Zeitservers können an folgender Stelle vorgenommen werden:

Config webgui.png Konfiguration über das WebGui:

Im Menu SystemDashboardStatusSystem InformationSystem Time
auf das Icon klicken um die Zeiteinstellung zu editieren

Fortinet-2713.jpg
Fortinet-2714.jpg
  1. Zeitzonen definieren
  2. Manuell Datum und Zeit konfigurieren
  3. NTP Konfiguration aktivieren
  4. NTP1 Server konfigurieren (Primärer NTP Server)
  5. NTP2 Server konfigurieren (Sekundärer NTP Server)
  6. Bevorzugter NTP Server definieren
  7. Konfiguration speichern

Konfiguration auf FAC mit OS 4.x/5.x:

Fortinet-1034.jpg

Fortinet-1035.jpg

edit 28.06.2024 - 4Tinu

Wie kann ich die DNS Server auf einem FortiAuthenticator konfigurieren?

Die DNS Server die der FortiAuthenticator benützt, werden folgendermassen konfiguriert:

Config webgui.png Konfiguration über das WebGui:

Im Menu SystemNetworkDNS können die DNS Server Einstellungen vorgenommen werden.

Fortinet-2715.jpg
  1. IP Adresse DNS Server 1
  2. IP Adresse DNS Server 2
  3. DNS Cache aktivieren|deaktivieren
  4. DNS maximale TTL im Cache [30s - 600s], eine Null beduetet, dass der TTL Wert vom DNS Server übernommen wird.
  5. Konfiguration sichern

Konfig für FAC mit Version 4.x/5.x:

Fortinet-1002.jpg
Wichtig.svg

Die im Zusammenhang stehenden DNS Server die benutzt werden, zum Beispiel für Radius Agents/Clients sollten für deren DNS Auflösung über die nötigen Einträge, respektive mindestens über einen "A Record" verfügen!


edit 28.06.2024 - 4Tinu

Wie wird eine statische Route auf dem FortiAuthenticator konfiguriert?

Config webgui.png Konfiguration über das WebGui:

Um die Route zu konfigurieren in das Menu Static Routing navigieren:

Fortinet-2716.jpg
  1. In das Menu SystemNetworkStatic Routing navigieren.
  2. Um einen neuen Routing Eintrag zu konfigurieren den Button Create New+ auswählen. Zum editieren einer Route die entsrpechende Route in der Liste doppelklicken.
Fortinet-3419.jpg
  1. Zielnetz welches geroutet werden soll, definieren (IP und Netzmaske)
  2. Ausgehenden Port (Interface) definieren, über welches der Gateway erreichbar ist.
  3. Den Default Gateway (Gerät auf welches das Zielnetz geroutet werden soll)
  4. Kommentare schaffen Klarheit und helfen einem anderem Admin schneller die Übersicht zu erhalten.
  5. Konfiguration sichern

Konfig für FAC mit Version 4.x/5.x: Im Menu System > Network > Static Routing > Create New wird eine neue Route konfiguriert:

Fortinet-1003.jpg

edit 08.07.2024 - 4Tinu

Wie kann ich für einen FortiAuthenticator den Management Access sowie Service Access Konfigurieren?

Ein FortiAuthenticator ist im Grundsatz ein Radius Server. Ein Radius Server benötigt Grundsätzlich zwei Services:

       • Radius Auth UDP/TCP 1812 (Old Radius 1645)
       • Radius Accounting UDP/TCP 1813

Zusätzlich zu den Management Access Ports kann der FortiAuthenticator auch mit zusätzlichen Services/Funktionen betrieben werden wie zB als ActiveDirectory/LDAP Server. Diese zusätzlichen Services/Funktionen benötigen zusätzliche Service Ports die über das entsprechende Interface aktiviert oder deaktiviert werden können:

       Fortinet-998.jpg

Es ist zu empfehlen sämtliche nicht benötigten Services sowie Management Access zu daktivieren!

Welche Verschlüsselungs Methoden werden durch einen FortiAuthenticator benutzt?

Basierend auf Version 3.3 und höher unterstützt der FortiAuthenticator folgende Verschlüsselung im SSL Bereich:

       • Für Management wird per Standard TLSv1 benutzt sowie zusätzlich "Industry Standard Server Side TLS" (Mgmt. Certificate PEAP/TTLS/TLS) 
       • Für Certificate: 4098bit RSA keys mit SHA-1 / SHA-256 Hash

Wie kann ich auf einem FortiAuthenticator einen eigenen Diffie-Hellmann Parameter Konfigurieren und Wieso?

Für den FortiAuthenticator kannst du eigene Diffie-Hellman-Parameter erstellen. Dafür ist es wichtig, zunächst zu verstehen, worum es beim Diffie-Hellman-Verfahren geht. Im folgenden Beispiel wird dies anhand einer asymmetrischen Verschlüsselung mit öffentlichem Schlüssel (Public Key Cryptography) erklärt. Diese Verschlüsselung basiert grundlegend auf einem privaten Schlüssel (Private Key) und einem darauf basierenden öffentlichen Schlüssel (Public Key).

Zertifikate-1085.jpg

Alles beginnt mit dem privaten Schlüssel. Aus diesem wird der öffentliche Schlüssel erzeugt und kann jederzeit wiederhergestellt werden. Daten, die mit einem Public Key verschlüsselt werden, können nur mit dem korrespondierenden Private Key entschlüsselt werden. Die Übermittlung verschlüsselter Daten funktioniert so: Daten werden mithilfe des öffentlichen Schlüssels des Empfängers verschlüsselt, sodass nur der Empfänger in der Lage ist, den Klartext zu entschlüsseln. Denn nur er besitzt den passenden privaten Schlüssel.

Im Zusammenhang mit Diffie-Hellman gibt es einige wichtige Aspekte. Ein Public-Key-Verschlüsselungsverfahren besteht aus drei Hauptalgorithmen:

  • Schlüsselerzeugungsalgorithmus: Dieser Algorithmus erzeugt zu einem gegebenen Sicherheitsparameter (2048bit, 4096bit) ein Schlüsselpaar, das aus einem öffentlichen und einem dazugehörigen geheimen Schlüssel besteht.
  • Verschlüsselungsalgorithmus: Er erzeugt aus einem Klartext unter Verwendung des öffentlichen Schlüssels einen Geheimtext (Ciphertext).
  • Entschlüsselungsalgorithmus: Dieser berechnet zu einem Geheimtext unter Verwendung des geheimen Schlüssels den passenden Klartext.

Ein Problem bei der Datenübertragung mittels SSL/TLS ist, dass mit einem Langzeitschlüssel (Public-Private-Key) sogenannte Sitzungsschlüssel für jede Session erzeugt werden. Wenn ein Angreifer Zugriff auf den Langzeitschlüssel hat, kann er alle vergangenen Sitzungsschlüssel errechnen und somit die gesamte Kommunikation entschlüsseln. Dies wird durch Perfect Forward Secrecy (PFS) verhindert. Ein möglicher Angreifer kann trotz Kenntnis des Langzeitschlüssels keine Rückschlüsse auf die ausgehandelten Sitzungsschlüssel ziehen.

Bei TLS wird dies erreicht, indem der Langzeitschlüssel zu einem Signaturverfahren gehört und nur benutzt wird, um Kurzzeitschlüssel zu signieren. Mit diesen wird jeweils durch einen Diffie-Hellman-Schlüsselaustausch ein Sitzungsschlüssel ausgehandelt. Wenn ein Server kompromittiert wird, erfährt der Angreifer nur den langfristigen Signaturschlüssel und die Sitzungsschlüssel aktueller Verbindungen. Die Sitzungsschlüssel vergangener Verbindungen sind bereits gelöscht und lassen sich nicht mehr rekonstruieren.

Für dieses Verfahren werden sogenannte Diffie-Hellman-Parameter (auch Diffie-Hellman-Gruppen) verwendet. Eine DH-Gruppe ist eine Liste langer Primzahlen, die für das PFS-Verfahren verwendet werden. Bis vor kurzem galten diese Listen als sicherheitsunkritisch und wurden daher vom Hersteller vorberechnet und ausgeliefert. Somit verwenden tausende Rechner dieselben Listen. Da dieses Verfahren mittlerweile kritisiert wird, ist es empfehlenswert, eigene DH-Gruppen zu erzeugen. Weitere Informationen findest du hier: https://weakdh.org/sysadmin.html.

Um diesem Problem zu begegnen, kannst du eigene DH-Parameter auf dem FortiAuthenticator erstellen. Nachfolgend ein Beispiel, wie du einen DH-Parameter unter Linux (CentOS) mit OpenSSL erstellst und auf den FortiAuthenticator lädst: Mit diesem Vorgehen stellst du sicher, dass deine Diffie-Hellman-Parameter individuell sind und erhöhst somit die Sicherheit deiner verschlüsselten Kommunikation.

Diesem Umstand kann abgeholfen werden dh. wir können unsere eigenen "DH" Parameter auf dem FortiAuthenticator erstellen. Nachfolgend ein Beispiel wie ein DH Parameter unter Linux (CentOS) anhand "openssl" erstellt sowie auf den FortiAuthenticator geladen werden kann:

Config cli.png Konfiguration über die CLI:
   mkdir /opt/DH-Param
   chmod 700 /opt/DH-Param
   chown root:root /opt/DH-Param 
   cd /opt/DH-Param

Nun erzeuge einen "256bit" langen "DH" Parameter:

   openssl genpkey -genparam -algorithm DH -pkeyopt dh_paramgen_prime_len:2048 -out dh2048.pem
   openssl genpkey -genparam -algorithm DH -pkeyopt dh_paramgen_prime_len:4096 -out dh4096.pem

Nach der Erzeugung kann der "DH" Parameter ebenfalls mit folgenden Kommando als "text ausgegeben werden:

   openssl pkeyparam -text -in dh2048.pem
   openssl pkeyparam -text -in dh4096.pem

Wenn diese Files über ein Linux zB CentOS selbst erstellt worden sind können diese über einen TFTP Server zum FortiAuthenticator raufgeladen werden:

   dhparam-load tftp [TFTP Server IPv4 Adresse] [File Name zB dh2048.pem]

Es kann ebenfalls FTP benutzt werden um das "DH" File auf den FortiAuthenticator zu laden:

   dhparam-load ftp [FTP Server IPv4 Adresse] [Filen Name zB dh2048.pem] [FTP User Name] [FTP Passwort]$

Diesen Diffie-Hellmann Parameter kann auch direkt auf dem FortiAuthenticator in der Bit Anzahl 2048 bis 8192 erstellt werden. Dabei ist jedoch zu berücksichtigen, dass dieses Erstellen des "DH" Parameters Resourcen Intensiv ist:

   dhparam-regen [von 2028 bis 8192]

Nachfolgend ein Beispiel für die Erstellung des "DH" Parameter:

   dhparam-regen 2048 2048
        The DH paramaters generated will range between 2048 and 2048 bits.
        
        This command may take hours/days to run, consuming a great deal of CPU time.
        Do you want to continue? (y/n)'''y'''
        Generating 2048-bit DH parameter 1 of 4... (This may take a while)
        Generating 2048-bit DH parameter 2 of 4... (This may take a while)
        Generating 2048-bit DH parameter 3 of 4... (This may take a while)
        Generating 2048-bit DH parameter 4 of 4... (This may take a while)

Wie gesagt dies kann einige Zeit in Anspruch nehmen. Möchten man den Standard Zustand des "DH" Parameters auf dem FortiAuthenticators wiederherstellen kann folgendes ausgeführt werden:

   dhparam-default

edit 09.07.2024 - 4Tinu

RSSO (Radius Single-Sign-On)

Wie kann ich für einen FortiAuthenticator ein RSSO (Radius Single-Sing-On) Konfigurieren?

Ab FortiAuthenticator 3.0.1 kann ein Radius Single-Sign-On für eine FortiGate konfiguriert werden. Dabei kann ein vorhandenes Active Directory in den FortiAuthenticator eingebunden und anhand diesem und dem Radius Server ein RSSO basierend auf dem Polling Mode konfiguriert werden. Weitere Informationen siehe nachfolgenden Artikel:

       FortiGate-5.0-5.2:FAQ#Kann_ich_f.C3.BCr_eine_FortiGate_.C3.BCber_Radius_mit_LDAP_Anbidung_ein_Single-Sign-On_konfigurieren_.28RSSO.29.3F

Token

Welche Token Art kann ich im Zusammenhang mit einem FortiAuthenticator einsetzen?

Im Zusammenhang mit einem FortiAuthenticator gibt es verschiedene Arten von Tokens, die für die Zwei-Faktor-Authentifizierung (2FA) verwendet werden können.
Hier sind einige der wichtigsten Token-Arten:

Token Typ Beispiel: Merkmale:

Physische Token:

FortiToken 210

  • Diese Token verwenden einen Intervall von 30 bis 60 Sekunden und generieren einen 6-stelligen Code.
  • Kompatibilität: : OATH TOTP (RFC 6238)

Physische Speichertoken:

FortiToken 310

  • Dieser PIN-geschützte Token basiert auf einem x.509-zertifikatsgeschützten USB-Speicher.
  • Hauptsächlich verwendet im IPSec/SSL-VPN-Bereich zur Zertifikat-basierten Authentifizierung.
  • Kompatibilität: : PKCS#11-Protokolle.

Software-Token:

  • Allgmeine Software Token
    • Diese Token verwenden einen Intervall von 30 bis 60 Sekunden, generieren einen 6- bis 8-stelligen Code und unterstützen iOS- sowie Android-Geräte.
    • Kompatibilität: :OATH TOTP (RFC 6238)

  • FortiToken Mobile
    • Eine App, die auf iOS und Android verfügbar ist und OTPs generiert.

  • Google Authenticator

Eine allgemeinere App, die auch mit FortiAuthenticator verwendet werden kann.

Token-lose Authentifizierung:

  • E-Mail
  • SMS
  • SMS
    • OTPs, die per SMS an das Mobiltelefon des Benutzers gesendet werden. Dies kann eine einfache und weit verbreitete Methode sein, erfordert jedoch, dass der Benutzer ein funktionierendes Mobiltelefon und Mobilfunkempfang hat.

  • E-Mail
    • OTPs, die per E-Mail an den Benutzer gesendet werden. Dies kann ebenfalls eine einfache Methode sein, jedoch abhängig von der Verfügbarkeit und Sicherheit des E-Mail-Zugangs des Benutzers.

edit 18.07.2024 - 4Tinu

Wie Funktionert eine Zeitbasierende TOTP (Open TOTPO Standard) Two-Factore Authentifizierung auf einem FortiAuthenticator?

Wenn der Token wie zB FortiToken 200 benützt wird so benützt dieser den "Open TOTP Standard" definiert in RFC 6238. Nachfolgend eine Uebersicht wie dies genau funktioniert:

Fortinet-1121.jpg

SCHRITT 1:
Der Benutzer meldet sich an der FortiGate oder einem Drittgerät (häufig als NAS oder im FAC als AuthClient bezeichnet) mit seinem Benutzernamen und Passwort an. Danach wird er aufgefordert, seinen Token-Passcode einzugeben.

Durch Drücken der Taste auf dem FTK200 wird die genaue Onboard-Uhr, die von einer Lithiumbatterie betrieben wird, zusammen mit dem festcodierten Seed verwendet, um einen einzigartigen Passcode zu generieren.

SCHRITT 2:
Der Benutzer gibt den Token-Passcode als Antwort auf die Challenge im NAS/Auth Client ein, welcher dann an den FortiAuthenticator weitergeleitet wird.

SCHRITT 3:
Wenn ein Remote-LDAP als Authentifizierungsquelle konfiguriert ist, wird dies validiert. Falls nicht, wird die lokale Passwortdatenbank überprüft.

SCHRITT 4:
Der FortiAuthenticator hält den Seed für den Token (welcher bei der Initialisierung aus dem FortiCare-Netzwerk heruntergeladen wurde) und die Zeit (synchronisiert über NTP) sowie eine Drift (ein Mass für die Abweichung der Token-Zeit). Diese Werte werden verwendet, um den Token-Passcode zu berechnen.

SCHRITT 5:
Die Werte werden verglichen und wenn sie übereinstimmen, wird der Zugriff gewährt. Andernfalls wird der Zugriff verweigert.


edit 08.07.2024 - 4Tinu

Wie und wo werden die für einen FortiAuthenticator verwendeten Token Seeds gespeichert?

Den Token Seeds kommt eine wichtige Rolle zu. Fortinet verarbeitet und speichert die Token Seeds auf verschiedene Weise, um ihre Sicherheit zu gewährleisten. Hier ist, wie Fortinet mit den Token Seeds umgeht:

Fortinet schützt die Token Seeds durch mehrere Massnahmen. Nehmen wir zum Beispiel die FortiToken 200: Deren Informationen, bzw. Seeds, werden zunächst in der FortiCare/FortiGuard-Datenbank gespeichert. Sobald diese FortiToken 200 jedoch über den FortiAuthenticator oder die FortiGate registriert werden, werden die Seeds aus der FortiCare/FortiGuard-Datenbank entfernt. Dies minimiert das Risiko, dass die Seeds in Zukunft kompromittiert werden.

Im Hintergrund wird durch die Registrierung mittels der Seriennummer auf dem Gerät (sei es FortiAuthenticator oder FortiGate) der FortiToken mit dem jeweiligen Gerät verknüpft. Dadurch kann derselbe FortiToken nicht zusätzlich auf einem anderen Gerät, wie beispielsweise einer weiteren FortiGate, registriert werden.

Möchtest du einen FortiToken auf einem neuen Gerät registrieren, sei es FortiGate oder FortiAuthenticator, muss dieser "re-provisioned" werden. Dazu ist ein Technical Support Ticket erforderlich, um den FortiToken Seed erneut in der FortiCare/FortiGuard-Datenbank zu speichern. Hierfür wird eine Offline-Kopie des Tokens verwendet, da der Seed bei der Erstregistrierung aus der Datenbank gelöscht wurde. Der FortiToken 200 Seed wird somit nur bis zur ersten Registrierung in der FortiCare/FortiGuard-Datenbank gespeichert.

Ein FortiToken Mobile wird in der FortiCare/FortiGuard-Datenbank gespeichert, bis der Seed heruntergeladen wurde. Danach wird auch dieser Seed aus der Datenbank gelöscht. Es ist möglich, den Speicherprozess des Seeds in der FortiCare/FortiGuard-Datenbank zu konfigurieren.

Wenn dieser Prozess aus Sicherheitsgründen für Enterprise-Kunden nicht akzeptabel ist, gibt es folgende Alternative:

FTK-210-5 FortiToken-Picture-210.png
FTK-310-5  FortiToken-Picture-310.png  
FTK-410-5 FortiToken-Picture-410.png 

Bei dieser offiziellen SKUs von Fortinet handelt es sich um Hardware Tokens welche die Seeds verschlüsselt enthalten und somit nicht in der FortiCare/FortiGuard-Datenbank gespeichert werden.

Für sehr grosse Umgebungen besteht zudem die Möglichkeit, das "self-provisioning" der Tokens selbst durchzuführen. Hierfür benötigst du das "Provisioning Tool" von Fortinet, das es dir ermöglicht, zufällige Seeds selbst zu erstellen.

Für Preisinformationen und das minimale Volumen solltest du direkt die ALSO Schweiz kontaktieren.

Mit diesen Massnahmen sorgt Fortinet dafür, dass die Token Seeds sicher und effizient verwaltet werden, um dein System bestmöglich zu schützen.


edit 05.07.2024 - 4Tinu

Wie kann ich FortiToken Mobile im FortiAuthenticator einlesen?

Zwei Mobile Token sind bei der FortiAuthenticator frei zu Verfügung. Weitere Mobile Token können kostenpflichtig hinzugefügt werden.
Informationen über die FortiToken findet man im Kapitel Produkte Informationen im folgenden Abschnitt mit Taste ctrl+Mausklick öffnet sich ein separates Fenster

In diesem Beispiel möchte ich auf meinen FortiAuthentikator im Labor 10 weitere Software Mobile Token hinzufügen. Folgenden SKU habe ich dafür bestellt: FTM-ELIC-10
Nach der Bestellung ist ein Email mit dem Aktivierungscode zugestellt worden. Darin enthalten ist eine kurze Anleitung, wie die Token auf einem Authenticator oder auf einer FortiGate eingelesen und aktiviert werden.

Fortinet-3275.jpg
Wichtig.svg

Der Aktivation Code ist ein Jahr gültig. Wird der Code nicht innerhalb eines Jahres auf einer FortiGate oder einem FortiAuthenticator aktiviert, entfallen die Token und es muss eine neue Lizenz erworben werden.

Anhand dieses Aktivieruns Code können auf dem FortiAuthenticator die Tokens folgendermassen aktiviert werden:

Config webgui.png Konfiguration über das WebGui:

Die Gratistoken findet man unter User Management -> FortiTokens

Fortinet-3276.jpg 

Um weitere Token einzulusen kann auf Create New navigiert werden

Fortinet-3277.jpg
  1. Da wir Mobile Token verwenden, den Tokentype auf FortiToken Mobile stellen
  2. Im Activation codes Feld den Aktivierungs Code aus dem Dokument reinkopieren
  3. Mit OK werden die Token importiert und aktiviert.

Wenn es geklappt hat kommt nach ein paar Sekunden eine Notifikation (Die Zeit ist Abhängig von der Anzahl Token die aktiviert werden)

Fortinet-3278.jpg

Die Token werden in der Liste jetzt mit den Serienummern angezeigt:

Fortinet-3279.jpg

Diese können jetzt den gewünschten Usern in der Userverwaltung zugewiesen werden.


add 03.04.2023 - 4Tinu

Wo kann ich eine Regel für FortiTokens (TOTP/HOTP) auf einem FortiAuthenticator konfigurieren?

Im Zusammenhang mit FortiTokens wird TOTP, also das "Time-Based One-Time-Password", sowie HOTP, das "HMAC-Based One-Time-Password", verwendet. HOTP basiert auf TOTP und beide Methoden verfügen über ein "authentication window" sowie eine "sync window size". Ab FortiAuthenticator Version 4.2 kannst du diese Werte für FortiToken unter folgender Position konfigurieren:

  1. Authentication Window: Hier stellst du den Zeitraum ein, in dem ein generiertes Passwort als gültig anerkannt wird.
  2. Sync Window Size: Damit legst du die Anzahl der zulässigen Synchronisierungsversuche fest, um die Token-Zeit mit dem Server abzugleichen.

Diese Einstellungen findest du im Konfigurationsmenü unter dem entsprechenden Abschnitt für FortiToken. So kannst du sicherstellen, dass deine Authentifizierung sowohl sicher als auch flexibel ist.

Config webgui.png Konfiguration über das WebGui:

Navigiere über das Menu AuthenticationUser Account PoliciesTokens in die Sektion FortiTokens

Fortinet-2196.jpg

Desweiteren kann für ein Token über SMS und/oder SMTP ein entsprechendes Token Timeout Konfiguriert werden. Weitere Informationen siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wo_kann_ich_auf_einem_FortiAuthenticator_das_Token_Timeout_f.C3.BCr_einen_SMS.2FSMTP_Gateway_Konfigurieren.3F

edit 04.07.2024 - 4Tinu

Was versteht man unter der Push Notifikation auf dem FortiAuthenticator?

Push-Benachrichtigungen sind eine Funktion, welche für FortiToken Mobile (FTM) und FortiToken Cloud (FTC) entwickelt wurde, um den Benutzern die Eingabe des OTP (One-Time Password) zu erleichtern. Dabei wird eine Benachrichtigung an die FortiToken Mobile App gesendet, um die OTP-Anfrage zu genehmigen oder abzulehnen.

Der Datenfluss für FTM-Push-Benachrichtigungen für importierte FortiTokens auf dem FortiAuthenticator gestaltet sich wie folgt:

  1. Der Benutzer gibt die Anmeldedaten auf der Login-Plattform ein und fährt mit der Anmeldung/Verbindung fort, wobei der Benutzer im nächsten Schritt aufgefordert wird, das OTP einzugeben. Gleichzeitig löst der FortiAuthenticator den Push-Prozess aus, indem er eine Anfrage an den Fortinet Push Proxy Server (push.fortinet.com) sendet, die dann basierend auf dem Betriebssystem des mobilen Geräts des Benutzers an den Apple/Google-Server weitergeleitet wird.
  2. Auf dem Gerät des Benutzers erscheint eine Benachrichtigung mit Informationen wie Benutzername, Zeitpunkt der Anfrage und Client-Anwendung (konfigurierbar auf dem FortiAuthenticator). Diese Anfrage enthält auch die IP/FQDN des FortiAuthenticators, die in den Systemeinstellungen des FortiAuthenticators als Ziel angegeben ist (für den Benutzer nicht sichtbar).
  3. Sobald der Benutzer "Approve" oder "Deny" auswählt, wird die Antwort direkt an den FortiAuthenticator gesendet, um den Authentifizierungsprozess abzuschliessen.

Der Datenfluss und Arbeitsablauf der FortiToken Cloud zugewiesenen Token unterscheidet sich geringfügig, da das mobile Gerät die Push-Benachrichtigung an den FortiToken Cloud Server sendet, welcher sie dann an den FortiAuthenticator weiterleitet.

Der Datenfluss für FTC-zugewiesene FortiTokens auf dem FortiAuthenticator sieht folgendermassen aus:

  1. Der Benutzer gibt die Anmeldedaten auf der Login-Plattform ein und fährt mit der Anmeldung/Verbindung fort, wobei der Benutzer im nächsten Schritt aufgefordert wird, das OTP einzugeben. Gleichzeitig löst der FortiAuthenticator den Push-Prozess aus, indem er eine Anfrage an den FortiToken Cloud Server (ftc.fortinet.com:8686) sendet, die dann basierend auf dem Betriebssystem des mobilen Geräts des Benutzers an den Apple/Google-Server weitergeleitet wird.
  2. Auf dem Gerät des Benutzers erscheint eine Benachrichtigung mit Informationen wie Benutzername, Zeitpunkt der Anfrage und Client-Anwendung (konfigurierbar auf dem FortiAuthenticator).
  3. Sobald der Benutzer "Approve" oder "Deny" auswählt, wird die Antwort direkt an den FortiToken Cloud Server gesendet. Dieser sendet dann eine Bestätigung, um den Authentifizierungsprozess abzuschliessen.

Anforderungen:
Der Login-Client (Portal) muss Push unterstützen. Unterstützte Clients unter den Fortinet-Produkten umfassen:

  • FortiClient (6.4.x, 7.0.x, 7.2.x, 7.4.x und die aktuellen 6.2.x Versionen).
  • FortiGate Admin- und VPN-Webportal.
  • FortiAuthenticator Captive/Self Service/Admin GUI/SAML IdP-Portale.
  • FortiManager/FortiAnalyzer Admin GUI.
  • FortiAuthenticator v6.x.
  • Internetzugang für den FortiAuthenticator.
  • Der FortiAuthenticator muss von einem mobilen Gerät aus erreichbar sein.

add 04.07.2024 - 4Tinu

Wie kann ich die Push Notifikation Funktion fuer den FortiToken auf dem FortiAuthenticator konfigurieren?

Im folgenden Artikel wird erklärt, wie man die Push Notifikation auf dem FortiAuthenticator konfigurieren kann. Unter umständen muss auf der Firewall welche den FortiAuthenticator ins Internet absichert, noch eingehende und ausgehende Kommunikations Regeln konfiguriert werden.

  • Eingehend: TCP443 (Eventuell Destinations NAT auf den FortiAuthenticator konfigurieren)
  • Ausgehend: TCP443
Config webgui.png Konfiguration über das WebGui:

Als erstes muss der FortiToken Mobile Services auf dem Interface welches richtung FortiToken Mobile APP kommunizert aktiviert werden. (Meistens das Interface, welches zum Default Gateway richtung Internet zeigt).

Fortinet-3398.jpg

Fortinet-3402.jpg
  1. Navigiere über das Menu: SystemNetworkInterface
  2. Das Interface auswählen welches Richtung Internet kommuniziert. In unserem Fall Port1
  3. edit zum bearbeiten auswählen
  4. Bei der Sektion Access Right unter dem Untermenu Services: muss der HTTPS (TCP/443) Service aktiviert sein.
  5. Nun den FortiToken Mobile API Dienst aktivieren
  6. nach dem bestätigen der Konfiguration wird der Webserver Dienst auf dem FortiAuthenticator kurz neu gestartet.

Wenn sich das mobile Gerät des Benutzers nicht im lokalen Netzwerk befindet, muss die öffentliche WAN-IP/FQDN der Firewall konfiguriert werden. Auf der Firewall muss ein Destinations Nat für den eingehenden Traffic der mobilen App zum FortiAuthenticator erstellt werden. Auf einer FortiGate wird dies mit einer VIP Regel konfiguriert. Wie man eine VIP Regel konfiguriert kann in diesem Wiki Artikel entnommen werden:

Navigiere über das folgende Menu zum Ziel: SystemAdministrationSystem AccessZum Abschnitt GUI Access navigieren

Fortinet-3399.jpg
  1. Seiten Titel konfigurieren.
  2. Die Option Allow all hosts/domain names aktivieren.
  3. Nun kann im Feld Public IP/FQDN for FortiToken Mobile:der FQDN Name oder die Public IP Adresse des VIP Objekts, eingetragen werden.
  4. Falls ein alternativer Port benutzt wird, kann dieser folgendermassen konfiguriert werden: FQDN:SERVICE_NUMMER
    • Beispiel: auht.also-solutions.ch :55443

Wenn Push für die RADIUS-Authentifizierung oder die Portal-Authentifizierung (Captive/Self Service Portal) verwendet wird, muss die Option Allow FortiToken Mobile push notifications aktiviert werden. Dies kannst du folgendermassen tun:
Navigiere zu AuthenticationRADIUS ServicePoliciesAuthentication factorsAdvanced options
Wenn mehrere Policies konfiguriert sind, die gewünschte Policie editieren:(doppelklick auf den Namen)

Fortinet-3401.jpg
  1. Das Menu Advanced options aufklappen
  2. Die Option Allow FortiToken Mobile push notifications muss aktiviert werden.
  3. Die Option Trigger push without RADIUS challenge wird nicht empfohlen zu aktivieren.
  4. Hier kann ein Name definiert werden, welcher in der Pushup Nachricht beim User angezeigt wird.
  5. mit Update and exit kann die Konfiguration gespeichert und beendet werden.

Nun solltest du beim Einloggen auf der Mobile FortiToken App bei der Anmeldung eine Push benachrichtung bekommen und musst nicht mehr die Zahlenkombination für den MFA manuell eingeben. Unter umständen musst du auf deinem Mobile Gerät noch die Notifikation erlauben.


add 03.07.2024 - 4Tinu

Was bewirkt die Option "Trigger push without RADIUS challenge"?

Fortinet-3400.jpg

Wenn du diese Option aktivierst, wird der FortiAuthenticator die FortiToken Mobile Push-Benachrichtigung auslösen, sobald dein Passwort überprüft wurde. Du musst also nicht mehr auf eine RADIUS-Herausforderung mit "push" antworten. Das klingt erstmal super, oder? Es gibt ein paar Haken, die nicht jeder so toll finden könnte:

  • Die manuelle Eingabe des OTP ist nur möglich, indem du das Passwort und das OTP zusammen in deiner anfänglichen Anmeldedatenübermittlung kombinierst. Das bedeutet ein bisschen Extraarbeit für dich.
  • Wenn du vergisst, das OTP mit der ursprünglichen Anmeldedatenübermittlung zu kombinieren, oder wenn die Push-Benachrichtigungen dein FortiToken Mobile nicht erreichen, musst du eine Wartezeit in Kauf nehmen. Diese kann von 30 Sekunden bis zu einigen Minuten dauern. Ziemlich nervig, oder?
  • Hinweis: Die Option ist standardmässig deaktiviert.
Wichtig.svg

Diese Option ist nicht empfohlen bei Verwendung mit FortiGate RADIUS-Clients


add 04.07.2024 - 4Tinu

User

Wie kann ich auf einem FortiAuthenticator das Passwort des User "admin" Konfigurieren?

Config webgui.png Konfiguration über das WebGui:
Fortinet-1000.jpg
  1. AuthenticationUser ManagementLocal Users
  2. Wähle den Useradmin aus
  3. Um den Admin User zu bearbeiten den Edit Button anwählen.
Fortinet-3403.jpg
  1. Sicherstellen, dass die Option Password authentication aktiviert ist. Da auf den Button Change Password wählen.

Es öffnet sich ein neues Fenster um das Passwort zu konfigurieren:

Fortinet-3405.jpg
  1. Passwort Methode wählen (Selbst ein Passwort definieren oder sich per Email ein zufälliges Passwort zustellen lassen)
  2. Wenn die Methode Specify a password ausgewählt ist, hier dass gewünschte starke Passwort zweimal eingeben.
  3. Mit Save die Konfiguration bestätigen.

Falls du das Admin Passwort geändert hast und nicht neu gesetzt hast musst du die Änderung mit dem alten Admin Passwort bestätigen:

  • Es muss das alte Admin Passwort eingegeben werden
Fortinet-3404.jpg

Nach dem ändern muss du dich neu auf dem Authenticator einloggen.


edit 04.07.2024 - 4Tinu

Wie kann ich beim User "Admin" das Passwort zuruecksetzen, wenn ich es vergessen habe?

Wenn das Passwort des User "admin" nicht mehr bekannt ist kann anhand der "admin-maintainer" eingeloggt werden dh. Nachdem der FortiAuthenticator neu gestartet wurde und das Login erscheint kann 2 Minuten anhand des User "maintainer" eingeloggt werden:

Config cli.png Konfiguration über die CLI:
  
  Login: maintainer
  Password: [Serien Nummer des FortiAuthenticator zB "FAC-VM0A13012345"]

Das Passwort des User "admin" kann nicht über CLI gesetzt werden jedoch kann dieses anhand "restore-admin" zurückgesetzt werden:

Config cli.png Konfiguration über die CLI:
 
 > restore-admin
 Trusted management subnets of administrator "admin" habe been cleared.
 No need to restore administrator access to Port 1.
    Default administrator account "admin" has been restored:
    Password is set to blank, admin has full permissions, 
	and any trusted management subnet restrictions is removed.
    Please remember to change the password.

add 04.07.2024 - 4Tinu

Wie konfiguriere ich den Management-Zugriff für den Benutzer "admin" auf einem FortiAuthenticator?

Du kannst den Management-Zugriff für den Benutzer "admin" auf einem FortiAuthenticator über ein entsprechend konfiguriertes Interface einrichten, um den Zugang zum Web-Management-Interface oder per SSH zu ermöglichen. Dieser Zugriff kann an folgenden Positionen konfiguriert werden:

Config webgui.png Konfiguration über das WebGui:
Fortinet-3428.jpg
  1. Navigiere im Seitenmenu auf SystemNetworkInterfaces
  2. wähle den Port aus, auf welchem die Administrations Dienste zu verfügung gestellt werden sollen (in unserem Beispiel der port1)
  3. Mit edit kannst du die port1 Eigenschaften bearbeiten.
Fortinet-3429.jpg

In der Sektion Access Rights kannst du under der Sparte Admin access: die benötigten Dienste aktivieren oder deaktivieren.

Konfig für FAC mit Version 4.x/5.x: NetworkInterfaces[Wähle das entsprechende Interface zB "port1"]

Fortinet-999.jpg

Überprüfe, ob der Benutzer "admin" nun über das konfigurierte Interface Zugriff auf das Management-Web-Interface oder per SSH hat, indem du die entsprechende URL im Browser öffnest oder eine SSH-Verbindung herstellst.


edit 18.07.2024 - 4Tinu

Wie kann ich auf einem FortiAuthenticator den RESTful API Access Konfigurieren?

Der FortiAuthenticator umfasst eine RESTful API, welche es ermöglicht, den FortiAuthenticator in verschiedenen Aspekten direkt anzusprechen und Kommandos auszuführen. Über diese API kannst du auf eine Vielzahl von Funktionen zugreifen und somit administrative Aufgaben effizient erledigen.

Fortinet stellt eine detaillierte Dokumentation für das RESTful API des FortiAuthenticators zur Verfügung. Diese Dokumentation erklärt ausführlich, welche Endpunkte zur Verfügung stehen, welche HTTP-Methoden verwendet werden können und wie die verschiedenen API-Aufrufe korrekt angewendet werden. Durch diese Anleitung erhältst du alle notwendigen Informationen, um das RESTful API des FortiAuthenticators optimal zu nutzen und in deine bestehenden Systeme zu integrieren.

Für weitere Informationen und detaillierte Anwendungsbeispiele, siehe den nachfolgenden Artikel:

Config webgui.png Konfiguration über das WebGui:
Fortinet-3428.jpg
  1. Navigiere im Seitenmenu auf SystemNetworkInterfaces
  2. wähle den Port aus, auf welchem den REST-API Dienst zu Verfügung gestellt werden soll. (in unserem Beispiel der port1)
  3. Mit edit kannst du die port1 Eigenschaften bearbeiten.
Fortinet-3430.jpg

In der Sektion Access Rights kannst du under der dem Abschnitt Admin access: die Option REST API (/api/) ein oder ausschalten.

Konfig für FAC mit Version 4.x/5.x:
Bis FortiAuthenticator 4.1 war es nicht möglich den Zugriff für dieses RESTful API einzuschränken. Ab FortiAuthenticator 4.2 steht diese Konfiguration nun zur Verfügung über folgenden Menüpunkt:

System Administration System-Access RESTful API access

Fortinet-2192.jpg

edit 18.07.2024 - 4Tinu

Wie kann ich auf einem FortiAuthenticator für den User "admin" das Timeout Konfigurieren?

Der Admin-Timeout beim FortiAuthenticator bezeichnet die maximale Zeitspanne, die ein Administrator inaktiv sein kann, bevor die administrative Session automatisch beendet wird. Diese Sicherheitsfunktion stellt sicher, dass nicht autorisierte Benutzer keinen Zugriff auf administrative Funktionen erhalten, falls eine Session unbeabsichtigt offen bleibt.

Technische Details:
1.) Konfiguration des Admin-Timeouts:
Der Admin-Timeout-Wert kann vom Administrator in der Verwaltungskonsole des FortiAuthenticators konfiguriert werden. Standardmässig ist dieser Wert auf eine bestimmte Zeitspanne voreingestellt, kann jedoch je nach Sicherheitsanforderungen angepasst werden.

2.) Überwachung der Inaktivität:
Der FortiAuthenticator überwacht kontinuierlich die Aktivität des Administrators während einer Session. Jede Interaktion, wie das Klicken auf Links, das Eingeben von Daten oder das Navigieren durch die Menüs, wird als Aktivität gewertet und setzt den Inaktivitätszähler zurück.

3.) Sessionsbeendigung:
Wenn der Inaktivitätszähler den konfigurierten Timeout-Wert erreicht, beendet der FortiAuthenticator automatisch die Session des Administrators. Dies erfolgt durch eine Abmeldung des Administrators und die Anzeige der Anmeldeseite.

4.) Sicherheitsimplikationen:
Der Admin-Timeout ist eine wesentliche Sicherheitsmassnahme, um das Risiko unbefugten Zugriffs zu minimieren. Er verhindert, dass eine unbeaufsichtigte Session über längere Zeit offen bleibt und von Unbefugten ausgenutzt werden kann.

5.) Benachrichtigungen:
In einigen Konfigurationen kann der FortiAuthenticator eine Warnung anzeigen, bevor die Session beendet wird, um dem Administrator die Möglichkeit zu geben, die Session aktiv zu halten. Dies kann beispielsweise durch ein Pop-up-Fenster erfolgen, das den Administrator auffordert, eine Aktion auszuführen, um die Session zu verlängern.

6.) Best Practices:
Es wird empfohlen, den Admin-Timeout so zu konfigurieren, dass ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit gewährleistet ist. Zu kurze Zeitspannen könnten die Produktivität beeinträchtigen, während zu lange Zeitspannen das Sicherheitsrisiko erhöhen.

Konfiguration im FortiAuthenticator:

Config webgui.png Konfiguration über das WebGui:
Fortinet-3431.jpg
  1. Navigiere im Seitenmenu auf SystemAdministrationSystem Access
  2. Im Abschnitt CLI Access kannst du den CLI idle timeout: konfigurieren. Dieser Timeout ist für den Konsolen Zugang gedacht.
  3. Im Abschnitt GUI Access stellst du den Timeout für eine inaktive Adminsession im WebGui ein.
  4. Mit Save wird die Konfiguration abgeschlossen.

Konfig für FAC mit Version 4.x/5.x:
System Administration[GUI Access / System-Access] Idle timeout

Fortinet-1001.jpg

Durch die sorgfältige Konfiguration des Admin-Timeouts kannst du sicherstellen, dass administrative Sessionen sicher und gleichzeitig benutzerfreundlich bleiben. Dies ist ein wichtiger Bestandteil der umfassenden Sicherheitsstrategie beim Einsatz des FortiAuthenticators.


edit 18.07.2024 - 4Tinu

Wie kann ich auf einem FortiAuthenticator für den User "admin" den Zugriff für TrustedHosts Konfigurieren?

Wenn sich ein FortiAuthenticator mit seinem Interface in einer DMZ befindet, kann der Zugriff auf das Management-Web-Interface, beispielsweise über HTTPS, durch eine entsprechende Policy Rule auf einer vorhandenen Firewall eingeschränkt werden.
Befindet sich der FortiAuthenticator jedoch im LAN-Segment, ist dies nicht mehr möglich, da der HTTPS-Traffic nicht mehr über die Firewall kontrolliert werden kann.

Ab FortiAuthenticator Version 3.1 hast du die Möglichkeit, für den entsprechenden Benutzer, wie zum Beispiel den Benutzer "admin", eine ACL (Access Control List) zu konfigurieren. Dies erfolgt über die Funktion "trusted management subnets". Diese Funktion erlaubt es dir, spezifische Subnetze festzulegen, von denen aus auf das Management-Web-Interface zugegriffen werden darf.

Der "Trusted Host" beim FortiAuthenticator ist eine Sicherheitsfunktion, die den Zugriff auf das Management Interface des Geräts auf bestimmte IP-Adressen oder IP-Adressbereiche beschränkt. Dies dient dazu, die Angriffsfläche zu minimieren und sicherzustellen, dass nur vertrauenswürdige Netzwerke und Geräte administrative Zugriffsrechte erhalten.

Technische Details:

Definition und Konfiguration:

Ein Trusted Host ist eine IP-Adresse oder ein Adressbereich, der explizit autorisiert ist, administrative Zugriffe auf den FortiAuthenticator durchzuführen. Diese Konfiguration erfolgt über die Managementkonsole des FortiAuthenticators unter den administrativen Einstellungen.

IP-Adressen und Subnetze:

Du kannst einzelne IP-Adressen (z.B. 192.168.1.10) oder ganze Subnetze (z.B. 192.168.1.0/24) als Trusted Hosts festlegen. Dies ermöglicht eine flexible Steuerung der Zugriffsberechtigungen basierend auf der Netzwerkstruktur und den Sicherheitsanforderungen.

Mehrere Trusted Hosts:

Es ist möglich, mehrere Trusted Hosts zu konfigurieren, um unterschiedlichen Administratoren oder Managementnetzwerken den Zugriff zu gewähren. Jede hinzugefügte IP-Adresse oder jedes Subnetz erweitert die Liste der vertrauenswürdigen Quellen.

Sicherheitsvorteile:

Durch die Beschränkung des administrativen Zugriffs auf definierte Trusted Hosts wird das Risiko von Brute-Force-Angriffen und unautorisierten Zugriffsversuchen aus nicht vertrauenswürdigen Netzwerken erheblich reduziert. Selbst wenn Anmeldeinformationen kompromittiert werden, ist der Zugriff nur von den konfigurierten IP-Adressen möglich.

Fehlertoleranz:

Es ist wichtig, sicherzustellen, dass mindestens eine IP-Adresse, von der aus die Verwaltung des FortiAuthenticators möglich ist, immer korrekt konfiguriert bleibt. Eine fehlerhafte Konfiguration könnte dazu führen, dass sich Administratoren selbst ausschliessen und den Zugriff auf die Management Interface verlieren.

Best Practices:

  • Verwende möglichst restriktive IP-Adressen oder Subnetze, um die Angriffsfläche zu minimieren.
  • Überprüfe regelmässig die Konfiguration der Trusted Hosts, um sicherzustellen, dass sie aktuell und relevant sind.
  • Integriere die Konfiguration der Trusted Hosts in ein umfassendes Sicherheitskonzept, das auch andere Sicherheitsmassnahmen

wie Zwei-Faktor-Authentifizierung (2FA) und regelmässige Überwachung einschliesst. Die Trusted-Host-Funktion des FortiAuthenticators ist ein effektives Mittel, um die Sicherheit der Managementzugriffe zu erhöhen und sicherzustellen, dass nur autorisierte und vertrauenswürdige Quellen administrative Aufgaben durchführen können.

Konfiguration im FortiAuthenticator:

Config webgui.png Konfiguration über das WebGui:
Fortinet-3432.jpg
  1. Navigiere über das Seitenmenu AuthenticationUser ManagementLocal Users
  2. wähle den User aus, welchen du mit Trusted Hosts den Zugriff einschränken willst. In unserem Fall ist es der User Admin
  3. mit Edit kommst du in die Verwaltung des gewünschten Users.
Fortinet-3433.jpg
  1. Aktiviere die Funktion Restric admin login from trusted management subnets only
  2. Mit dem Button + Add Trusted Subnet kannst du ein neues Netz oder einen neuen Host hinzufügen.
  3. Gib das Trusted Netzwerk an. Für einen Host folgender Syntax IP Adresse/32 zum Beispiel: 198.18.0.250/32
  4. Wenn du ein Netz/Host löschen willst, kannst du das Kreuz anwählen.
  5. Mit Save die Konfiguration abschliessen, mit Cancel kannst du die Konfiguration verwerfen.

Konfig für FAC mit Version 4.x/5.x:
AuthenticationUser ManagementLocal UsersUser RoleRestrict admin login from trusted management subnets only

Fortinet-2157.jpg

Die Trusted-Host-Funktion des FortiAuthenticators ist ein effektives Mittel, um die Sicherheit der Managementzugriffe zu erhöhen und sicherzustellen, dass nur autorisierte und vertrauenswürdige Quellen administrative Aufgaben durchführen können

Config cli.png Konfiguration über die CLI:

Auf der CLI steht dir zusätzlich folgendes Kommando zur Verfügung, um die "trusted management subnets" zurückzusetzen:

 
restore-admin
Wichtig.svg Beachte jedoch, dass dieses Kommando nicht nur die "trusted management subnets" zurücksetzt, sondern auch den konfigurierten Management-Zugriff auf port1, wie beispielsweise HTTPS, sowie das Passwort für den Benutzer "admin".

edit 18.07.2024 - 4Tinu

Gibt es auf einem FortiAuthenticator für die User Informationen die Möglichkeit zusätzlich Felder zur Verfügung zu stellen?

Wenn ein User oder Users Lokal erfasst werden kann es Sinnvoll sein, zusätzliche Felder zur Verfügung zu haben um spezfische Informationen für die User zu erfassen wie zB Abteilung, Lokation usw. Auf dem FortiAuthenticator stehen für solche Zwecke drei Felder zur Verfügung die mit einem eigenen Namen versehen werden können. Diese Felder werden nach der Vergabe der Namen/Bezeichnung unter "User Information" angezeigt. Die drei Felder müssen vorgängig definiert werden unter folgender Position:

      Fortinet-1017.jpg
      Fortinet-1018.jpg
      Fortinet-1019.jpg

Wie kann ich auf einem FortiAuthenticator eine Gruppe erstellen und diese für einen Radius Client Konfigurieren?

Nun die Gruppierung innerhalb des FortiAuthenticator kommt eine wichtige Funktion zu dh. wenn ein Radius Client (zB eine FortiGate) erfasst wird so ist die Standard Konfiguration für diesen Radius Client die folgende:

      Authentication > RADIUS Service > Clients
      Fortinet-1037.jpg

Wenn zB auf dem FortiAuthenticator ein Radius Client (FortiGate) konfiguriert wird für Lokale User auf dem FortiAuthenticator und diese Lokalen User im Zusammenhang mit einer Gruppe auf dem FortiAuthenticator benutzt wird so stellt diese Konfiguration keine Probleme dar. Dies bedeutet: Im nachfolgenden Beispiel existieren in der Gruppe "gr_alsochllu-sg0e0_ssl_vpn" Lokale User des FortiAuthenticator und benützten "two-factor authentication" für SSL-VPN auf dem Radius Client resp. auf der FortiGate:

      Fortinet-2158.jpg

Somit für Realm "local | Local users" wird ein Filter benutzt dh. die Gruppe "gr_alsochllu-sg0e0_ssl_vpn" und sofern möglich eine "two-factor authentication" ausgeführt. Als Realm dh. als "Username input format" muss kein Realm benutzt werden da es sich um den Standard Realm "local | Local users" handelt. Möchte man nun eine weitere Gruppe hinzufügen zB "gr_sg0e0_dmz0_wirless" für eine WPA2-Enterprise Authentifizierung für den gleichen Radius Client (FortiGate) muss für die Unterscheidung ein Realm benutzt werden da ansonsten der FortiAuthenticator die Gruppen und Authentifizierungs Methoden nicht mehr unterscheiden kann. Somit muss an erster Stelle ein Realm konfiguriert werden:

      User Management > Realms > Create New
      Fortinet-2160.jpg

Wird ein Realm benutzt im Zusammenhang mit ActivDirectory muss dieser vorgängig unter folgender Position erfasst werden:

      Authentication > Remote Auth. Servers > LDAP > Create New

Nachträglich steht dieser neue "Remote Auth Servers" dh. LDAP unter Realm für die Position " User source" zur Verfügung und somit wird der REALM mit dem "Remote Auth Server" LDAP Verknüpft. Das Gleiche wird mit der Gruppe durchgeführt dh. wurde vorgängig ein "Remote Auth Server" zB LDAP konfiguriert kann dieser mit der entsprechenden Gruppe Verknüpft werden:

      Authentication > User Groups > Create New
      Fortinet-2161.jpg

Danach kann der neue Realm der mit dem "Remote Auth Servers" LDAP Verknüpft wurde innerhalb der Radius Client (FortiGate) Konfiguration benutzt werden um diesen mit der entsprechenden Gruppe zu Verknüpfen:

      Fortinet-2159.jpg

Somit können verschiedenen Authentifizierungs Methoden anhand verschiedener Gruppen für Lokale User oder Remote Auth Servers resp. LDAP anhand des Realms für den gleichen Radius Client (FortiGate) unterschieden werden. Wie schon erwähnt muss der User der ein Login durchführt bei dem Standard Realm "local | Local users" keine Angaben des Realms durchführen. Für alle anderen Realms muss der User beim Login den entsprechenden Realm mitgeben anhand der Konfiguration innerhalb des Radius Client der Position "Username input format".

Wie kann ich auf einem FortiAuthenticator für die User eine Account Policy Konfigurieren?

Auf einem FortiAuthenticator kann eine Passwort Policy aktiviert/definiert werden unter folgender Position:

      Authentication > User Account Policies > Passwords
      Fortinet-1014.jpg

Was ist auf einem FortiAuthenticator zu beachten wenn ein "locked" User durch den User "admin" auf "unlocked" Konfiguriert wird?

Wenn in der Account Policy im FortiAuthenticator "enable password expiry" gesetzt wird so wird ein User auf "locked" gesetzt sofern er sein Password nach "password expiry" nicht neu setzt. Obwohl ein Administrator im FortiAuthenticator diesen User "unlocked" wird der User nach 24 Stunden wiederum auf "locked" gesetzt. Der Grund dafür ist der Folgende:

      Da der User innerhalb dieser 24 Stunden sein Passwort nicht neu setzt greift wieder die Option password expiry" 

Somit muss ein User nach einem "unlock" das Passwort innerhalb 24 neu setzen damit der nicht wieder auf "lock" gesetzt wird.

Wie konfiguriere ich eine Lockout-Policy für Benutzer auf einem FortiAuthenticator?

Die Lockout-Policy bei einem FortiAuthenticator ist eine Sicherheitsfunktion, die dazu dient, unbefugte Zugriffsversuche auf das System zu verhindern. Diese Policy sperrt einen Benutzer-Account nach einer definierten Anzahl fehlgeschlagener Anmeldeversuche für eine bestimmte Zeit. Dies schützt vor Brute-Force-Angriffen und erhöht die Sicherheit der Authentifizierungsumgebung.

Technische Details der Lockout-Policy:

Parameter der Lockout-Policy:

  • Maximale Anzahl fehlgeschlagener Versuche: Dies ist die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach der der Benutzer-Account gesperrt wird.
  • Lockout-Dauer: Dies ist die Zeitspanne, für die der Benutzer-Account nach Erreichen der maximalen Anzahl fehlgeschlagener Anmeldeversuche gesperrt bleibt.

Ablauf der Lockout-Policy:

  • Bei jedem fehlgeschlagenen Anmeldeversuch erhöht der FortiAuthenticator den Zähler der fehlgeschlagenen Versuche für den betroffenen Benutzer.
  • Sobald die Anzahl der fehlgeschlagenen Versuche den konfigurierten Schwellenwert erreicht, wird der Benutzer-Account automatisch gesperrt.
  • Während der Sperrzeit kann sich der Benutzer nicht anmelden, selbst wenn korrekte Anmeldeinformationen eingegeben werden.

Rücksetzung der Lockout-Policy:

  • Die Sperrung kann automatisch nach Ablauf der konfigurierten Lockout-Dauer aufgehoben werden.
  • Alternativ kann ein Administrator den Benutzer-Account manuell über die Web-GUI entsperren, falls sofortiger Zugang erforderlich ist.

Sicherheitsvorteile:

  • Schutz vor Brute-Force-Angriffen: Durch das Sperren von Benutzer-Accounts nach mehreren fehlgeschlagenen Anmeldeversuchen wird das Risiko von Brute-Force-Angriffen erheblich reduziert.
  • Erhöhte Kontensicherheit: Selbst wenn Anmeldeinformationen kompromittiert werden, verhindert die Lockout-Policy unbefugten Zugang durch wiederholte Versuche.

Best Practices:

  • Setze die maximale Anzahl fehlgeschlagener Versuche und die Lockout-Dauer so, dass ein ausgewogenes Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit besteht.
  • Überwache regelmäßig die Anmeldeversuche und passe die Lockout-Policy bei Bedarf an, um auf neue Bedrohungen zu reagieren.
  • Informiere Benutzer über die Lockout-Policy, um Verständnis und Akzeptanz sicherzustellen und unnötige Support-Anfragen zu vermeiden.

Konfiguration im FortiAuthenticator:

Config webgui.png Konfiguration über das WebGui:
Fortinet-3434.jpg
  1. Navigiere über das Seitenmenu: AuthenticationUser Account PoliciesLockouts
  2. Wenn die Option Enable user account lockout policy aktiviert wird, kannst du die Anzahl Logingversuche definieren (1-20) default 5
  3. Bei Specify lockout perios konfigurierst du die Zeitspanne in Sekunden, wie lange der User keinen weiteren Logingversuch vornehmen kann (60-86400s) default Wert 60s
  4. In der Option Enable IP lockout policy wird angegeben wieviele Versuche von einer bestimmten IP Adresse vorgenommen werden dürfen, bevor die IP Adresse blockiert wird.(1-20) default 3
  5. Bei der Option Specify IP lockout period wird definiert wie lange die IP Adresse blockiert wird. (60-86400s) default Wert 60s
  6. Mit Save kannst du deine Anpassungen speichern und sie werden sogleich aktiv bei der nächsten Anmeldung eines Users.

Konfig für FAC mit Version 4.x/5.x:
SystemAuthenticationUser Account PoliciesLockouts

Fortinet-1015.jpg

Die Lockout-Policy des FortiAuthenticators ist ein wesentliches Sicherheitsmerkmal, das dazu beiträgt, die Integrität des Authentifizierungssystems zu schützen und unbefugte Zugriffe zu verhindern. Durch sorgfältige Konfiguration und Verwaltung dieser Policy kannst du die Sicherheit deines Netzwerks deutlich erhöhen.


edit 18.07.2024 - 4Tinu

Wie kann ich auf einem FortiAuthenticator für User eine 802.x Authentication Konfigurieren?

Eine 802.x Authentication ist basierend auf der MAC Adresse dh. zur regulären Authentifizierung wird die MAC Adresse des Client zur Authentifizierung hinzugefügt. Um eine solche Konfiguration auf dem FortiAuthenticator durchzuführen führe folgendes durch:

      1. Als erstes erfasse für die Authentifizierund den entsprechenden Radius Client:
         
         FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
         
      2. Definiere im Radius Client, dass für diesen Radius Client eine MAC basierende Authentifizierung gilt:
         
         Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Radius Client] > [Aktiviere "Allow MAC-based authentication"]
         
         Fortinet-2162.jpg
         
         Unter dieser Position kann die "Mac-based authentication" anhand "Apply Group Attributes" mit einer entsprechenden Gruppe Verknüpft werden.
         
      3. Erfasse für die 802.x Authentifizierung die entsprechenden MAC Adresse/n:
         
         Authentication > User Management > MAC Auth Bypass > Create New
         
         Fortinet-2163.jpg

Nun kann die Konfigurtion anhand eines Users der für den entsprechenden Radius Client (Gruppe und/oder Local Users) freigeschaltet ist getestet werden!

Wie kann ich auf einem FortiAuthenticator für "expired" User Automatisch einen "purge" Konfigurieren?

Ab Version 3.0.1 wird die Funktion eines "Automatically purge" zur Verfügung gestellt unter folgender Menüposition:

      Authentication > General > Other Settings > Automatically purge disabled user accounts
      Fortinet-2164.jpg

Somit kann unter dieser Position anhand der Frequency (Daily, Weekly oder Monthly) sowie Time (Zeit der Ausführung) angegeben werden, wann "Account expired" User zB stammend von der Self-Registration gelöscht werden sollen. Wenn die User manuell anhand "Purge Disabled" gelöscht werden sollen, kann dies unter folgender Position durchgeführt werden:

      Authentication > User Management > Local Users
      Fortinet-1050.jpg

Wie kann ich auf einem FortiAuthenticator einen Pre-Authentication Disclaimer Konfigurieren?

Ab FortiAuthenticator 4.2 steht ein Pre-Authentication Disclaimer für HTTP/HTTPS sowie CLI und SSH zur Verfügung. Dieser Kann über folgenden Menüpositon aktiviert werden:

      System > Administration > System-Access > Pre-Authentication
      Fortinet-2193.jpg

Für diese Funktion wird eine Replacement Messages Seite benutzt die unter folgender Position zur Verfügung steht und modifiziert werden kann:

      Authentication > Self-Service Portal > Replacement Messages > Authentication
      Fortinet-2194.jpg

Wird die Funktion des Pre-Authentication Disclaimer aktiviert so erscheint zB beim Login über HTTP/HTTPS dieser Pre-Authentication Disclaimer der akzeptiert werden muss, damit ein Login durchgeführt werden kann:

      Fortinet-2195.jpg

Wie kann ich auf einem FortiAuthenticator verhindern, dass ein User Mehrmals ein Login ausführt?

Dies kann über den FortiAuthenticator nicht verhindert resp. konfiguriert werden. Der Grund liegt darin, dass der FortiAuthenticator zwar das Login des Users überprüft aber das Logout wird dem FortiAuthenticator nicht von zB einer FortiGate zurückgemeldet. Also kann der FortiAuthenticator nicht feststellen ob der User ausgeloggt hat oder nicht resp. ob es sich um ein "multiple user login" handelt. Um dies zu verhindern muss dies auf dem Device auf dem der User das Login vollzieht konfiguriert werden. Wie dies auf einer FortiGate zu konfigurieren ist siehe nachfolgenden Artikel:

      FortiGate-5.0-5.2:FAQ#Wie_kann_ich_f.C3.BCr_jeden_User_.28inkl._.22admin.22.29_und.2Foder_User_in_Gruppen_ein_.22multiple_login.22_verhindern.3F

Wie kann ich auf einem FortiAuthenticator bei einem Remote Radius User der Benutzername case sensitive aktivieren/deaktivieren?

Ab der Version 4.2.1 kann für die Remote Radius User der Benutzername case sensitive ein oder ausgeschaltet werden:

      Authentication > Remote Auth. Servers > General > Remote Radius > [Aktiviere oder Deaktiviere "Remote RADIUS usernames are case sensitive]

Self-Registration

Wie sieht ein Grundsetup aus auf einem FortiAuthenticator für die Self-Registration Funktion?

Im Gegensatz zum "Wireless Guest Access Provisioning" existieren für die "Wireless Self Registration" Funktion vers. Vorraussetzungen die da wären:

       FortiGate mit FortiOS 5 Patch 2 oder höher
       FortiAuthenticator mit FortiOS 3 oder höher

Wenn der FortiAuthenticator zB basierend auf VMWare installiert ist kann über die Kommandozeile ein entsprechendes Interface für den Zugriff konfiguriert werden:

       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_die_Grundkonfiguration_betreffend_Netzwerk_durchf.C3.BChren.3F

Nun kann man auf das Mgmt. WebInterface zugreifen:

       https://192.168.1.40/

Danach führe folgendes Konfiguration aus:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_das_Passwort_des_User_.22admin.22_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_den_User_.22admin.22_den_Management_Access_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_den_User_.22admin.22_das_Timeout_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_den_Hostnamen_eines_FortiAuthenticators_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_den_FQDN_.28Fully_Qualified_Domain_Namen.29_eines_FortiAuthenticators_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_die_Timezone_sowie_Timeserver_.28NTP.29_f.C3.BCr_einen_FortiAuthenticator_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_die_Domain_Name_Server_.28DNS.29_f.C3.BCr_einen_FortiAuthenticator_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_das_Routing_Konfigurieren.3F
       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_den_Management_Access_sowie_Service_Access_Konfigurieren.3F

Unter "Services" sollten nur die Services aktiviert werden die benützt werden für die Authentifizierung. Dies bedeutet: Wenn nur die "Self Registration" Funktion genutzt wird so deaktiviere alle Services bis auf "Radius" da die Funktion "Radius" basierend ist! Wenn der FortiAuthenticator durch eine Firewall geschützt wird zB in einem DMZ muss darauf geachtet werden, dass die entsprechenden Services für die die Authentifizierung sowie Mgmt. auf der Firewall zB FortiGate erlaubt werden. Die vers. Ports wären:

       FFSO                TCP 8000
       LDAP                TCP 389 (LDAPS 636)
       Radius              TCP 1812 (UDP)
       Radius Accounting   TCP 1813 (UDP)
       
       Mgmt. HTTP          TCP 80
       Mgmt. HTTPS         TCP 443
       Mgmt. SSH           TCP 22
       Mgmt. Telnet        TCP 21
       Mgmt. Ping          ICMP

Weitere Informationen betreffend "Open Ports" im Zusammenhang mit Fortinet Produkten wie der FortiAuthenticator siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Welche_Open_Ports_ben.C3.BCtzt_ein_FortiAuthenticator.3F

Im "Self Registration" Portal werden Services benötigt die die nötigen Informationen übermitteln wie zB E-Mail, SMS usw. Einer dieser Service's ist die Uebermittlung der Informationen über EMail! Dazu wird ein SMTP Server benötigt. Die Konfiguration des SMTP Servers wird unter folgendern Position konfiguriert:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_SMTP_Server_Konfigurieren_f.C3.BCr_Versendung_von_Email_Nachrichten.3F

Desweiteren kann die Information über SMS versendet werden. Unter folgender Position kann ein SMS Service konfiguriert werden dh. per Standard steht der "FortiGuard Messaging Service" zur Verfügung, der benutzt werden kann sofern man über den "FortiGuard Service" für den Authenticator verfügt. Wenn selber ein SMS Gateway/Provider definiert werden möchte was zu empfehlen ist siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_SMS_Gateway_Konfigurieren_f.C3.BCr_die_Versendung_von_SMS_Nachrichten.3F

Als nächstes muss auf dem FortiAuthenticator der FortiGate Device über diesen die "Self Registration" Funktion ausgeführt wird als "Radius Client" erfasst werden. Ebenso muss auf der FortiGate auf der die "Self Registration" Funktion benutzt wird der "Radius Server" erfasst werden:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F        

Als nächsten Schritt legen wir eine Gruppe an die alle User beinhaltet die sich auf dem Self-Registration Portal registrieren werden dh. diese Self-Registration User werden durch die Funktion automatisch in diese Gruppe geschrieben. Weitere Informationen zur Erstellung einer Gruppe und was dabei zu beachten ist siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F

Als nächsten Schritt definieren wir die Grundkonfiguration des "Self-Registration" Funktion dh. unter folgender Position:

       Fortinet-1040.jpg

Innerhalb dieser Konfiguration kann die Standard Sprache des Portals definiert werden! Es stehen vers. Sprachen zur Verfügung wie Deutsch, Französisch, Englisch usw. Unter der Position "Site Name" kann der FQDN des Portals definiert werden. Dies ist nur dann zu definieren wenn die nachfolgende Konfiguration nicht durchgeführt wurde:

       FortiAuthenticator:FAQ#Wie_kann_ich_den_FQDN_.28Fully_Qualified_Domain_Namen.29_eines_FortiAuthenticators_Konfigurieren.3F

Unter der Position "E-mail signature" kann eine Signature definiert werden die jeder Nachricht angehängt wird die über das Self-Registration Portal ausgelöst wird! Nun defnieren wir die Funktion des Self-Registration Portals unter folgender Position:

       Fortinet-1041.jpg
       Require administrator approval
       Wenn die Position "Require administrator approval" aktiviert wird, erhält der zustaendige Administrator 
       per E-Mail die noetigen Informationen für die Registration des Users und muss bevor diese Aktiv werden 
       im FortiAuthenticator diese durch eine Link der auf den FortiAuthenticator zeigt Bestätigen. Die EMail
       Adressen können frei gewählt werden oder über den entsprechenden Account des Administrators:
       
       Fortinet-1042.jpg
       Use mobile number as username"
       Aktiviert man diese Position so wird als Username die Mobile Nummer definiert sowie das Passwort wird
       dem User an die defninierte Mobile Nummer gesendet!
       Place registered users into a group
       Diese Position sollte umbedingt aktiviert werden sowie die entsprechende Gruppe definiert werden. Weitere 
       Informationen dazu siehe nachfolgender Artikel:
       
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F
       Password creation
       Wenn die Position "Password creation" auf "Randomly generated" gesetzt wird so wird ein Passwort vom System
       generiert. Ab Version 3.0.0 kann dieses Passwort über die "User Account Policies" beeinflusst resp. definiert 
       werden. Weitere Informationen siehe nachfolgender Artikel:
       
       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_eine_Account_Policy_Konfigurieren.3F
       
       Deszweiteren ist zu berücksichtigen, dass wenn die Funktion "Randomly generated" benutzt wird, innerhalb des 
       Self-Registration Portals die Felder für die Angabe des "Password" sowie "Confirm Password" entfernt werden. 
       Dies kann über die "Replacement Message Groups" durchgeführt werden:
       
       Fortinet-1044.jpg
       Send account information via
       Diese Position definiert "wie" die Account Informationen dem User der sich auf dem Self-Registration Portal registriert
       zugestellt werden. Aktiviert man die Position "Display on browser page" kann die entsprechende Seite unter den "Replacement
       Message" modifiziert werden:
       
       Fortinet-1043.jpg
       Required Field Configuration
       Im Self-Registration Portal stehen für die Registration verschiedene Felder zur Verfügung wie zB First name, Last name usw.
       Unter dieser Position wird definiert ob diese Felder "Required" sind oder nicht. Ebenfalls stehen drei "Custom field"
       zur Verfügung in denen eigenen User Informationen definiert werden können. Weitere Informationen wie diese Felder erstellt 
       werden etc. findet man unter folgendem Artikel:
       
       FortiAuthenticator:FAQ#Gibt_es_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_Informationen_die_M.C3.B6glichkeit_zus.C3.A4tzlich_Felder_zur_Verf.C3.BCgung_zu_stellen.3F

Die Konfiguration ist nun abgeschlossen auf dem FortiAuthenticator. Dies bedeutet: Das Verhalten des Self-Registration Portal ist definiert sowie eine Gruppe die zum entsprechenden Radius Client (FortiGate) hinzugefügt wurde. Die Verbindung zwischen Radius Client (FortiGate) und Radius Server (FortiAuthenticator) wurde getestet und steht. Als letzter Test kann nun das Self-Registration Portal getestet werden dh. führe folgendes aus:

       https://192.168.1.40
       
       NOTE Wenn man nun auf "Register" klickt, wird die "Self Registration" Seite angezeigt und kann getestet
            werden. Beachte bei diesem Test, dass keine Admin Session aktiv ist da ansonsten das Login nicht angezeigt 
            wird dh. logge dich also vorhergehend aus dem FortiAuthenticator aus!
            
            Fortinet-1045.jpg
            
            Fortinet-1046.jpg
            
            In diesem Beispiel wurde das Passwort auf "Randomly generated" gesetzt sowie die Passwort Felder unter
            "Replacement Message Groups" für die "Registration Page" auskommentiert ( <!-- --> ). 
            Die Passwort Policy wurde ebenfalls manipuliert indem folgendes definiert wurde:
            
            Fortinet-1048.jpg 
            
            Fortinet-1047.jpg
            
            Da wir die Position "Display on browser page" gewählt haben werden nun die Login Daten auf der Seite angezeigt!
            Wenn diese Variante gewählt wird, sollte ein Link auf diese Seite eingebaut werden damit der User die Credentials
            eingeben kann. Damit er dies durchführen kann klickt er auf "Click here to proceed,". Durch diese Implementierung 
            wird eine Seite aufgerufen (zB www.google.ch) und dadurch Erzwungen das die "Login Page" angezeigt wird auf der 
            der User seine  Credentials eingeben kann:
            
            --------------- HTML ---------------
            
             <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
             <html>
             <p> Click <a href="http://www.mydomain.ch"> here </a> to proceed, </p> 
             </html>
             
            --------------- HTML ---------------

Der User der sich selber über die "Self Registration" registriert hat ist auf dem FortiAuthenticator unter folgender Position sichtbar:

       Fortinet-1049.jpg

Die User werden "autom" deaktiviert sobald "Account expires after" unter der folgende Position eintritt und somit zählen diese User als nicht mehr "aktive" User!:

       Authentication > Self-registration > Account expires after

Soll die Expiration manipuliert werden für einen einzelnen User kann dies innerhalb des User unter "Enable account expiration > Edit" durchgeführt werden! Die User die die Expiration erreichen werden per Standard nicht automatisch gelöscht sondern können mit der Funktion "Automatically purge expired accounts" Automatisch oder über die Local User Manuell gelöscht werden. Weitere Informationen zur Automatischen/Manuellen Löschung abgelaufener User siehe Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_.22expired.22_User_Automatisch_einen_.22purge.22_Konfigurieren.3F

Nun kann die Implementation auf der FortiGate (Radius Client) durchgführt werden dh. Implementiere die nötige SSID sowie FortiAP. Weitere Informationen dazu siehe nachfolgenden Artikel:

       FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.0.2F5.2_in_Betrieb_und_konfiguriere_ich_diesen.3F
       FortiAP:FAQ#Wie_nehme_ich_ein_Fortinet_Access_Point_unter_FortiOS_5.4_in_Betrieb_und_konfiguriere_ich_diesen.3F

Beim erfassen der SSID muss diese betreffend Authentication auf "Open" gesetzt werden. Der Grund dafür ist, dass dem User "ohne" Authentifizierung eine IP zugewiesen werden muss damit er zum "Self Registration" Portal gelangt! Um auf der FortiGate die entsprechende Konfiguration zu vervollständigen dh. um eine Policy zu implementieren für "Identity Based Poliy" müssen wir eine Gruppe erfassen und dieser den erfassten "Radius Server" hinzufügen:

       User & Device > User > User Group > Create New
       Fortinet-748.jpg

Das "Captive Portal" das benutzt wird für die Self-Registration Funktion sollte ein Link enthalten der durch die User benutzt werden kann um zum Self-Registration Portal des FortiAuthenticators zu gelangen. Somit muss über eine "Replacemente Message Group" das Captive Portal modifiziert werden. Erstelle auf dem FortiGate Device über "Replacement Message Groups" dieses Captive Portal:

       Config > Replace Message Groups > Create New > [Name der Replacement Message Group zB "captive-portal-only4dmz"
       Fortinet-2165.jpg
       
        --------------- HTML ---------------
        
          <p style="text-align:center">
            If you do not have an account on this system, please register 
            <a href="https://selfreg.also-solutions.local.intra/auth/register/">
              here
            </a>
          </p>
         
        --------------- HTML ---------------

Weitere Informationen zu den "Replacement Message Groups" findet man unter nachfolgenden Link:

       FortiGate-5.0-5.2:FAQ#Was_sind_.22Replacement_Message_Groups.22_und_wie_verwende_ich_diese.3F

Wenn die User über einen FQDN das Self-Registration Portal erreichen sollen oder im Captive Portal der FQDN des Self-Registration Portal benutzt wird muss dieser FQDN Name über einen entsprechenden DNS Eintrag verfügen sowie in der SSID in unserem Beispiel "only4dmz" muss den User einen entsprechenden DNS Server zur Verfügung gestellt werden der diesen FQND des Self-Registration Portal auflösen kann. Ebenfalls muss eine Firewall Policy Rule erstellt werden, der diesen Traffic für DNS ohne eine entsprechende Authentication für "only4dmz" erlaubt:

       Fortinet-2166.jpg

In unsere Beispiel wurde den Usern für die SSID "only4dmz" der DNS Server "198.18.0.1" zur Verfügung gestellt. Nun muss nach dieser DNS Firewall Policy Rule für das Self-Registration Portal eine Firewall Policy Rule konfiguriert werden, dies es erlaubt ohne Authentifizierung zum Self-Registration Portal resp. zum FortiAuthenticator zu gelangen:

       Fortinet-2167.jpg

Wenn der User nun auf dem FortiAuthenticator die Self-Registration ausführt wurde in der Bestätigung über Browser ein Link zur Verfügung gestellt die irgendeine Seite aufruft zB www.google.ch. Dadurch wird nun die nächste Firewall Policy Rule aufgerufen die eine Authentifizierung auslöst über das Captive Portal das wir über Replacement Message Groups erstellt haben. Dieses kann nicht über Web Mgmt. Interface konfiguriert werden dh. dieses muss über CLI für die entsprechenden nachfolgende Firewall Policy Rule konfiguriert werden:

       Fortinet-2168.jpg
       
       # config firewall policy
       # edit [Policy ID der entsprechenden Firewall Policy die erstellt wurde]
       # set replacement-override-group [Name des entsprechenden Captive Portal zB "captive-portal-only4dmz"]
       # end

Nun können die ersten Tests durchgeführt werden um die Funktion des Self-Registration Vorgangs zu überprüfen!

Wie kann ich auf einem FortiAuthenticator die HTML Seiten für Self-Registration Funktion Konfigurieren?

Sämtliche HTML Seiten sei es für SMS, Browser und/oder EMail lassen sich über die "Replacement Message" Funktion modifizieren und abändern. Dazu wähle folgende Menüposition:

       Authentication > Self-service Portal > Replacement Message Groups
       Fortinet-1051.jpg

Wie kann ich auf einem FortiAuthenticator für Self-Registration die Felder für das Registrations Portal Konfigurieren?

Die Felder auf der "Self-Registration" Seite lassen sich vollumfänglich ändern dh. auf der einen Seite laesst sich bestimmen welche Felder als "Required" definiert werden und auf der anderen Seite lässt sich die HTML Seite ändern. Dies bedeutet wiederum, Felder die nicht "Required" sind können über die HTML Seite so modifiziert/gelöscht werden damit diese nicht angezeigt werden. Ebenso können 3 zusätzlich Felder für "User Informationen" konfiguriert werden:

       Required Field Configuration
       
       Authentication > Self-service Portal > Self-registration > Required Field Configuration
       
       Fortinet-1052.jpg
       Replacement Message
       
       Authentication > Self-service Portal > Replacement Message
       
       Fortinet-1053.jpg
       Custome Field
       
       FortiAuthenticator:FAQ#Gibt_es_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_Informationen_die_M.C3.B6glichkeit_zus.C3.A4tzlich_Felder_zur_Verf.C3.BCgung_zu_stellen.3F

Wie kann ich auf einem FortiAuthenticator die Gültigkeit (Zeitdauer) für einen Token Konfigurieren?

Wenn im FortiAuthenticator einen Token aktiviert wird, ist dieser für eine bestimmte Zeit für "ein" Login gültig. Diese Zeit zwischen Token Aktivierung/Deaktivirung kann in der "Lockout Policy" definiert werden. Weitere Informationen siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_die_User_eine_Lockout_Policy_Konfigurieren.3F

Wie kann ich auf einem FortiAuthenticator für ein ActiveDirectory/LDAP die Mobile Nummer der User auslesen?

Dies ist nur möglich über die Funktion "Remote Users" dh. die User Informationen aus dem ActiveDirectory resp. LDAP müssen über die FortiAuthenticator Funktion Importiert werden. Danach steht die Mobile Nummer der User sofern diese korrekt im ActiveDirectory resp. LDAP erfasst wurden auf dem FortiAuthenticator korrekt zur Verfügung. Diese Informationen sind statischer Natur dh. wenn Informationen im ActiveDirectory resp. LDAP geändert werden so werden diese nicht automatisch auf dem FortiAuthenticator aktualisiert. Diese können manuell aktualisiert werden oder Automatisiert über die Menüposition:

       Authentication > User Management > Remote User Sync Rules
       Fortinet-2169.jpg

Weitere Informationen dazu wie ActiveDirectory User resp. LDAP anhand eines Token für Authentication konfiguriert werden siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_User_aus_einem_ActiveDirectory.2FLDAP_eine_Tocken_Authentication_Konfigurieren.3F

Wie kann ich auf einem FortiAuthenticator Self-Registration für ein Interface basierendes Captive Portal auf einer FortiGate Konfigurien?

Das nachfolgend Beispiel zeigt einen Anwendungszweck der genutzt werden kann für ein "Interface" basierendes "Captive Portal" resp. für eine "Self-Registration" Funktion für FortiAccess Points. Die Basis dieses Beispiel ist das Grundsetup des FortiAuthenticators betreffend "Self-Registration" Funktion das nachträglich wie nachfolgend beschrieben abgeändert wird. Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_sieht_ein_Grundsetup_aus_auf_einem_FortiAuthenticator_f.C3.BCr_die_Self-Registration_Funktion.3F

Für die Konfiguration basierend auf eine "Interface" basierenden "Captive Portal" führe folgendes aus:

       Schritt 1:
       Verbinde die FortiAccess Points in ein Segment zB DMZ Interface sowie aktiviere auf diesem Interface einen DHCP Server für die 
       FortiAccess Points sowie aktiviere die CAPWAP Funktion auf dem DMZ Interface.
       Schritt 2:
       Konfiguriere auf der FortiGate eine SSID basierend auf der Authentifizierungs Methode "open" zB "only4dmz" sowie füge diese einem
       entsprechenden FortiAccess Point Profile hinzu. Füge dieses FortiAccess Point Profile das unsere SSID "only4dmz" enthält mit der
       Authentifizierungs Methode "opne" dem entsprechende FortiAccess Point als Profile hinzu.
       Schritt 3:
       Aktiviere auf dem DMZ Interface die Funktion "Captive Portal" unter "Security Mode". Als Gruppe für die Authentifizierung definiere
       die "Self-Registration" Gruppe. Diese Gruppe enthält den FortiAuthenticator als Radius Server dh. der FortiAuthenticator wurde auf
       der FortiGate als Radius Server konfiguriert und dieser Gruppe hinzugefügt. Als "Authentication Portal" definiere "external" sowie
       definiere als URL den Link zum FortiAuthenticator Self-Registration Portal:
       
       https://[IP or FQDN of FAC]/auth/register/
       
       NOTE Beachte im Zusammenhang mit IP und/oder FQDN Zertifikats basierende Probleme. Wenn ein User einen HTTP basierende URL
            aufruft und diese Anfrage über das "Captive Portal" zur "external" URL des FortiAuthenticator weitergeleitet werden soll
            muss global diese Funktion aktiviert werden. Diese "globale" Konfiguration kann auf Protokoll Ebene sowie Port Ebene über
            folgende Position konfiguriert werden:
            
            Config > User & Device > Authentication > Settings
       
       Zusätzlich, damit der Traffic zur definierten "external" URL erlaubt wird "ohne" Authentifizierung muss diese zu "Exempt List"
       hinzugefügt werden damit keine Authentifizierung bei der "external" definiert URL ausgelöst wird. Diese "Exempt List" kann FQDN
       und/oder IP basierend sein und kann folgendermassen definiert werden basierend auf einem Objekt:
       
       # config firewall address
       # edit [FortiAuthenticator Name zB "fac.local.intra"]
       # set address [IP Adresse des FAC]
       # end
       
       # config user security-exempt-list
       # edit [Name der Exempt liste zB "DMZ-exempt-list"]
       # config rule
       # edit 1
       # set srcaddr "[Objekt des FAC zB "fac.local.intra"]"
       # next
       # end
       # next
       # end
       Schritt 4:
       Um den Traffic zum FAC in der Firewall Policy Rule zu erlauben resp. damit die "Exempt List" greift, muss in der entsprechenden
       Firewall Policy Rule den Verweis zur "Exempt List" aktiviert werden.
       
       # config firewall policy
       # edit [Wähle eine entsprechende Policy ID]
       # set srcintf [Wähle das Interface auf dem das "Captive Portal" aktiviert wurde dh. zB "DMZ" 
       # set srcaddr [Definiert den IP Range für die SSID "open" resp. den DHCP Server IP Range]
       # set dstintf [Definiere das Interface hinter dem sich der FAC befindet]
       # set dstaddr [Definiere als Destination den FAC zB als Objekt "fac.local.intra"]
       # set action accept
       # set schedule "always"
       # set service "HTTP" "HTTPS"
       # set captive-portal-exempt enable
       # end
       
       NOTE "Nach" dieser Firewall Policy Rule muss der ordentliche Traffic der SSID "only4dmz" definiert werden dh.
            damit den Usern basierend auf dem IP Range der SSID "only4dmz" erlaubt wird zB auf das Internet zu zugreifen.
            Desweiteren muss berücksichtigt werden, das Event. je nach Situation muss die "Exempt  Liste" erweitert werden 
            um den Zugriff auf den FAC per FQDN sowie im Allgemeinen zu URL's zu ermöglichen dh. damit dies durchgführt
            werden kann, muss der Zugriff ohne Authentifizierung auf die entsprechenden DNS Server erlaubt werden!
       Schritt 5:
       Wenn nun der User sich mit der SSID "only4dmz" verbindet, wird diesem - ohne Authentifizierung - eine IP aus dem
       Bereich des DHCP Servers der SSID zugewiesen. Wenn der User nach diesem Vorgang eine URL aufruft zB www.google.com
       wird diese Adresse im ersten Schritt über den DNS Server Aufgelöst (muss ohne Authentifizierung erlaubt werden). 
       Danach versucht der Client die URL resp. die IP zu erreichen. Diese Anfrage wird jedoch nicht erlaubt, wenn der 
       Traffic auf dem DMZ Interface mit aktivierten "Captive Portal" auftrifft. Da wir auf dem Interface für das "Captive
       Portal" ein "external Captive Portal" definiert haben, mit dessen "external" URL, wird diese Anfrage zu diesem "Captive 
       Portal" redirected. Dieser "redirect" zum FortiAuthenticator "Self-Registration" Portal wird erlaubt da wir für 
       diesen Traffic eine "Exempt List" definiert haben. Bei diesem Vorgang wird der URL des Users folgende Informationen
       hinzugefügt, die später benutzt werden können um die Authentifizierung "vom" FortiAuthenticator zur FortiGate 
       auszuführen:
       
       magic number
       username
       Password
       
       Der User für die SSID "only4dmz" kann sich nun nach dem "redirect" auf dem "Self-Registration" Portal des 
       FortiAuthenticator Registrieren mit dessen First name, Last name sowie Mobile number. Für diese Defintion auf dem
       FortiAuthenticator ist folgendes betreffend Konfiguration zu berücksichtigen:
       
       --> Registriere die FortiGate mit deren IP als "Radius Client" auf dem FortiAuthenticator und konfiguriere innerhalb
           der "Radius Client" Konfiguration folgendes:
           
           "Apply two-factor authentication if available (authenticate any user)"
           
           Innerhalb der "Radius Client" Konfiguration definiere unter folgender Position eine entsprechende Gruppe die unser
           "Self-Registration" Group darstellt:
           
           "Realm > Groups"
           
           Diese Gruppe kann innerhalb des FortiAuthenticator unter folgender Position erstellt werden:
           
           "Authentication > User Managment > User Groups"
           
       --> Für das "Self-Registration" Portal konfiguriere auf dem FortiAuthenticator unter nachfolgender Position Folgendes:
           
           "Authentication > Self-Service Portal > Self-Registration"
          
           Active the Position:                      "Use mobile number as username"
           Place registered users into a group:      "[Define the Self-Reg group which was also defined under the Radius Client]"
           Password creation:                        "Randomly generated"
           Send account information via:             "Display on browser page"
           SMS gateway:                              "[Define the SMS Gateway which was defined within FAC for HTTP Get/Post]
           Ebenfalls innerhalb dieser Konfiguration definiere für "Required Field Configuration" folgende Felder:
          
           First name
           Last name
           Mobile number
          
           NOTE Für diese Konfiguration resp. für dessen Abbildung wird im Hintergrund eine "replacement message" benutzt.
                da wir für die "Required Field Configuration" nicht alle Felder benutzen müssen/sollten die übrigen entfernt
                werden. Dies kann in der entsprechenden "replacement message" durchgführt werden. Diese findet man unter 
                folgender Position:
               
                "Authentication > Self-Service Portal > Replacement Message > User Registration Receipt"
       Schritt 6:
       Der User kann nun auf dem FortiAuthenticator die Self-Registrierung ausführen mit den zur Verfügung stehenden Feldern
       die definiert wurden (First name, Last name, Mobile number). Das Ziel das nun zu erreichen wäre ist das Folgende: Wenn
       der User nach Eingabe der "Required Field Configuration" im "Self-Registration" Portal auf "submit" klickt wird ein 
       entsprechender "token" ausgelöst und auf die definierte "Mobile number" im "Self-Registration" Portal gesendet. Dieser
       "token" muss der User auf der "verification" Seite direkt eingeben da dies über den Konfigurationspunkt "Display on 
       browser page" sowie "Use mobile number as username" ausgelöst wird! Sobald dies durchgeführt wurde werden die
       Informationen anhand einer modifizierten "replacement message" Seite für "Display on browser page" direkt and die 
       FortiGate auf den Authentication Port 1000 gesendet und somit ein direktes Login ermöglicht. Modifziere die "replacement
       message" "Display on browser page" unter folgender Position folgendermassen:
       
       "Authentication > Self-Service Portal > Replacement Message" 
       
       Suche die Position "User Registration Receipt" und ersetze den Inhalt folgendermassen:
       
       --------------- User Registration Receipt --------------- 
        
        <!DOCTYPE html>
        <html>
          <head>
            <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
            <title>User Registration Receipt</title>
            <style type="text/css">
              body {
                font-family: verdana,arial,helvetica,sans-serif;
                max-width: 600px;
              }
              p, table, ul {
                font-size: 12px;
              }
              table {
                border: 1px solid lightBlue;
                margin: auto;
                padding: 5px;
                width: 500px;
              }
              table td.attr-name {
                font-weight: bold;
                text-align: right;
                width: 30%;
              }
              table td.attr-val {
                text-align: left;
              }
            </style>
              <script>
                // Function to retreive url query parameters. 
                function getParameterByName(name) {
                    name = name.replace(/[\[]/, "\\[").replace(/[\]]/, "\\]");
                    var regex = new RegExp("[\\?&]" + name + "=([^&#]*)"),
                        results = regex.exec(location.search);
                    return results === null ? "" : decodeURIComponent(results[1].replace(/\+/g, " "));
                }
                // Prefills hidden form with auth magic. 
                window.onload = function() { 
                    document.forms['login'].elements['magic'].value = getParameterByName('magic');
                }
            </script>
          </head>
          <body>
            <h2>User Registration Receipt</h2>
            <p>Your account has been created and is now ready to use!</p>
            <table id="user-info">
              <tr>
                <td class="attr-name">Username:</td>
                <td class="attr-val">{{:username}}</td>
              </tr>
              <tr>
                <td class="attr-name">Account Expiry:</td>
                <td class="attr-val">{{:expiry}}</td>
              </tr>
            </table>
            <form name="login" method=POST action="http://[IP FortiGate]:1000/fgtauth">
                <input type="hidden" name="magic" value="" />
                <input type="hidden" name="username" value="{{:username}}"/>
                <input type="hidden" name="password" value="{{:password}}"/>
                <input type="submit" value="Login" />
              </form>  
        </body>
        </html>
        
        --------------- User Registration Receipt --------------- 
       
       NOTE Ersetze die Position "http://[IP FortiGate]:1000/fgtauth" entsprechend mit der IP des DMZ Interface's!
       Schritt 7:
       Nun kann die Implementation getestet werden:
       
       --> Verbinde dich mit der SSID "only4dmz" und rufe über den Browser eine URL auf zB www.google.com
       --> Es wird ein "redirect" ausgeführt auf das "Self-Registration" Portal des FortiAuthenticators
       --> Gebe die entsprechenden Informationen ein dh. First name, Last name sowie Mobile number
       --> Bestätige die eingegebenen Informationen anhand des "submit" Buttons
       --> Auf die definierte Mobile number wir ein "token" ausgelöst
       --> Gebe auf der "verification" Seite die nach der Bestätigung durch "submit" erscheint den "token" ein
       --> Bestätige die "verification" Seite und es erscheint die "User Registration Receipt" Seite
       --> Bestätige die "User Registration Receipt" Seite anhand des "Login" Buttons
       --> Im Hintergrund wird Username (=Mobile number) sowie Password (=Random) im Hintergrund zur FortiGate gesendet (http://[IP FortiGate]:1000/fgtauth)
       --> Authentifizierung wurde erfolgreich durchgeführt und die URL www.google.com wird aufgerufen

Radius Service

Wie kann ich auf einem FortiAuthenticator ein Radius Client Konfigurieren?

Config webgui.png Konfiguration über das WebGui:
  1. Das Menu Authentication öffnen
  2. Dann auf RADIUS Service -> Clients navigieren
  3. Mit +Create New wird ein neuer Radius Client konfiguriert.
Fortinet-3200.jpg
  1. Name für den Radius Client definieren
  2. Wir haben verschiedene Möglichkeiten, eine Client Adresse zu definieren (IP/Hostname, ein ganzes Subnet oder einen Range Wir benutzen in unserem Beispiel eine IP Adresse
  3. Der Secret definieren. Dieser Secret (Passwort) muss im jeweiligen Client(s) indentisch definiert werden. So stellen wir sicher, dass sich nicht irgend ein Client mit dem FortiAuthenticator verbinden kann und so diesen zur Authentifizierung nutzen kann.
  4. Mit OK wird der Radius Client erstellt und kann beim entsprechenden Device (z.B FortiGate, FortiManager, FortiAnalyzer usw.) benutzt werden
Fortinet-3201.jpg
Info.svg

add 07.07.2022 - 4Tinu

Wie kann ich einem User Radius Attribute zuweisen?

Es gibt die Möglichkeit einem User verschiedene Attribute mitzugeben, damit diese auf dem Zielsystem berücksichtigt werden.

Grundsätzlich wird das folgendermassen durchgeführt.

Config webgui.png Konfiguration über das WebGui:
  • Der Angelegte User muss editiert werden. Dafür über Authentication->User Managment->Local Users den entsprechenden User anwählen.
  • In unserem Beispiel heisst der User testuser
Fortinet-3202.jpg
  1. Die Option Allow RADIUS authentication muss aktiviert sein
  2. Damit Radius Attribute hinzugefügt werden können, muss die Role auf User eingestellt sein
Fortinet-3203.jpg
  • Nach unten scrollen in den Abschnitt RADIUS ATtributes Wenn dieser Abschnitt nicht ersichtlich ist, die Role auf User einstellen
  • Mit Add RADIUS Attribute können entsprechende Attribute hinzugefügt werden.
Fortinet-3204.jpg

add 07.07.2022 - 4Tinu

Wie kann ich einer Usergruppe auf dem FortiAuthentikator Radius Attribute zuweisen?

Config webgui.png Konfiguration über das WebGui:
  • Um eine User Gruppe zu editieren muss über das Menu Authentication -> User Management -> User Groups navigiert werden
  • Die Gruppe auswählen, die durch ein Radius Attribute erweitert werden soll.
Fortinet-3207.jpg
  • In der Gruppe zum Abschnitt RADIUS Attributes scrollen und diesen aufklappen.
  • Im Punkt Add RADIUS Attribute kein ein weiteres Attribute hinzugefügt werden. Es sind mehrere Attribute zum definieren möglich.
Fortinet-3208.jpg
Info.svg

Weitere Informationen über die Radius Attribute gibt es in diesem Artikel


add 07.07.2022 - 4Tinu

Wie konfiguriere ich, damit ich über den FortiAuthentikator auf dem FortiManager einen User authentifizieren kann?

Ich habe zwei User welche auf den FortiManager einloggen können sollen.

  • Der User : testuser ist ein Standard User (wr)
  • der User : testadmin hat SuperUser Rechte.

Diese beiden User sind auf dem FortiAuthentikator in der folgenden Gruppe zugewiesen:

  • gr_fnoa_admin
Config webgui.png Konfiguration auf dem FortiAuthentikator:

Diese Administrationsrollen werden direkt im User zugewiesen über die Radiusattribute:
Dabei muss ich bei den entsrpechenden User darauf achten, dass ich folgende Optionen aktiviert habe:

Fortinet-3211.jpg

Rechtezusweisung für den testuser:

Fortinet-3212.jpg
Vendor       : Fortinet
Attribute ID : Fortinet-Access-Profile
Value        : Standard_User <-- AdminProfil Name im FortiManager

Rechtezuweisung für den testadmin User:

Fortinet-3213.jpg
Vendor       : Fortinet
Attribute ID : Fortinet-Access-Profile
Value        : Super_User <-- AdminProfil Name im FortiManager

Mehr über die Zuweisung von Radius Attributen bei User findet man in diesem Artikel

Die User werden in die Gruppe gr_fnao_admin zugewiesen. Damit der FortiManager die Gruppe erkennt, muss in der Gruppe noch der Gruppenname als Attribute gesetzt werden:

Fortinet-3214.jpg
Vendor       : Fortinet
Attribute ID : Fortinet-Group-Name
Value        : gr_fnao_admin <-- So erscheint der Gruppenname auf dem FortiManager

Mehr über die Zuweisung von Radius Attributen in Gruppen findet man hier

Einen Radius Client auf dem FortiAuthentikator für den FortiManager konfigurieren.
Wie ein Radius Client konfiguriert wird ist in diesem Artikel beschrieben.
In unserem Beispiel hat der FortiManager im ServiceLan die IP Adresse 198.18.0.11

Fortinet-3210.jpg

Nun muss eine RADIUS Service Policy erstellt werden:

  • Policynamen definieren und beim RADIUS clients: den vorher definierten RadiusClient in das Chosen RADIUS Clients Tabelle hinzufügen. (Es können mehrere Clients mit selben Bedingungen hinzugefügt werden, wie zum Beispiel noch ein FortiAnalyzer)
  • Mit Next geht es einen Schritt weiter
Fortinet-3215.jpg
  • Unter RADIUS attribute criterien sind keine Konfigurationen notwendig, einen Schritt weiter mit Next
Fortinet-3216.jpg
  • Bei Authentication type kann auch einfach mit Next weiter gegangen werden
Fortinet-3217.jpg
  • Wir müssen auch keine Änderungen im Identity source in diesem Szenarium vornehmen und können mit Next weiter fahren
Fortinet-3218.jpg
  • Bei Authentication factors habe ich die MFA Authentifizierung deaktivert indem ich die Option Password-only ausgewählt habe. Wenn man mit MFA Authentifizieren will, einfach die entsprechende Option auswählen. Mit Next weiter
Fortinet-3219.jpg
  • Wenn es eine Neue Policy ist mit Save and exit' sichern und die Policy erstellen. Wenn es eine bestehende ist mit Update and exit die Änderungen speichern.
Fortinet-3220.jpg

Auf dem FortiManager muss jetzt folgendes Konfiguriert werden:

Config webgui.png Konfiguration auf dem FortiManager:
  • Den FortiAuthenticator wird als Radiusserver auf dem FortiManager erfasst. Der FortiAuthenticator hat in diesem Beispiel die Servicelan Adresse 198.18.0.14.
Fortinet-3221.jpg

Wie ein Radiusserver auf einem FortiManager genau konfiguriert wird, ist in diesem Artikel ausführlich beschrieben.

Fortinet-3222.jpg
  • Auf dem FortiManager muss ein Wildcarde User eröffnet werden. Dieser User kann auf dem FortiAuthentikator die User aus der Gruppe abfragen. Da wir auf dem Authentikator die entsprechenden Radius Attribute definiert haben, werden alle benötigten Daten mitgeliefert.
  • Wichtig die Option Match all users on remote server anzuwählen
  • Da wir das Administrationsprofil über die Radius Attribute den entsprechenden User zuweisen, muss bei Admin Profile Das Profil No_Permission_User ausgewählt werden
  • Weitere Konfigurationen in den Advanced Options
Fortinet-3223.jpg
  • In den Advanced Options muss das Feld ext-auth-accprofile-override auf enable gestellt werden. Diese Option bewirkt, dass das Adminprofil auf dem FortiManager vom Radius Attribute überschrieben werden darf.
  • Da wir die Option Match all users on remote server ausgewählt haben, würden alle Gruppen die auf dem FortiAuthentikator eingerichtet sind, berücksichtigt werden. Wir möchten aber nur die User aus der Gruppe gr_fnao_admin für die Authentifizurung zulassen. Wichtig, Grosskleinschreibung muss genau übereinstimmen.
Info.svg

Vertiefte Dokumentation findet man in diesem Wikiartikel

Nun überprüfen wir die ganze konfiguration und loggen uns als testuser auf dem FortiManager ein:

Fortinet-3224.jpg

Wir sehen dass die Oberfläche keine Systemeinstellungen hat. Diese Option ist nur dem Super_User Profil vorenthalten.

Fortinet-3225.jpg

Besser sehen wir es im Eventlog des FortiManagers:

Fortinet-3226.jpg

Auf dem FortiAuthentikator sehen wir das ganze auch im Debuglog: https://[IP-ADRESSE-FAC]/debug/radius/

385651+02:00  Received Access-Request Id 64 from 198.18.0.11:42464 to 198.18.0.14:1812 length 102
385684+02:00    User-Name = "testuser"
385696+02:00    User-Password: ****** 
385707+02:00    Calling-Station-Id = "198.18.195.254"
385719+02:00    NAS-Identifier = "fmg_viaoem-lab-0001"
385728+02:00    Acct-Session-Id = "40"
385738+02:00    Connect-Info = "admin-login"
385758+02:00  # Executing section authorize from file /usr/etc/raddb/sites-enabled/default
385840+02:00  facauth: ===>NAS IP:198.18.0.11 
385858+02:00  facauth: ===>Username:testuser 
386211+02:00  facauth: ===>Timestamp:1657267500.385869, age:0ms 
388395+02:00  facauth: Found authclient from preloaded authclients list for 198.18.0.11: radius_fmg_viaoem-lab-0001 (198.18.0.11) 
392111+02:00  facauth: Found authpolicy 'auth_SOC_NOC' for client '198.18.0.11' 
392138+02:00  facauth: Setting 'Auth-Type := FACAUTH'
392165+02:00 fac-viaoem-lab-0001 radiusd[9582]: Not doing PAP as Auth-Type is already set.
392190+02:00  # Executing group from file /usr/etc/raddb/sites-enabled/default
392225+02:00  facauth: Client type: external (subtype: radius) 
392236+02:00  facauth: Input raw_username: (null) Realm: (null) username: testuser 
392246+02:00  facauth: Searching default realm as well
392258+02:00  facauth: Realm not specified, default goes to FAC local user 
396241+02:00  facauth: Local user found: testusers 
396259+02:00  facauth: User [enable fido: false, token count: 0, revoked_token_count: 0] 
396273+02:00  facauth: Policy [fido_auth_opt: disabled, twofactor: password only, no_fido: two factor, revoked: reject] 
396285+02:00  facauth: Decided on [is_fido: false, two_factor: password only, token_type: none] 
398009+02:00  facauth: Authentication OK
398024+02:00  facauth: Setting 'Post-Auth-Type := FACAUTH'
398953+02:00  facauth: Add Radius attribute: attr_id:809762822 (attr 6, vendor 12356) attr:Standard_User 
399941+02:00  facauth: Add Radius attribute: attr_id:809762817 (attr 1, vendor 12356) attr:gr_fnao_admin 
400079+02:00  facauth: Updated auth log 'testuser': Local user authentication with no token successful 
400119+02:00  # Executing group from file /usr/etc/raddb/sites-enabled/default
400145+02:00  Sent Access-Accept Id 64 from 198.18.0.14:1812 to 198.18.0.11:42464 length 0
400161+02:00    Fortinet-Access-Profile += "Standard_User"
400171+02:00    Fortinet-Group-Name += "gr_fnao_admin"


Jetzt loggen wir mit dem testadmin User ein, dieser sollte Super_User Rechte auf dem FortiManager bekommen.

Fortinet-3227.jpg

Auf der Oberfläche sehen wir nun alle Optionen inklusive System Einstellung.

Fortinet-3228.jpg

Auch im Eventlog können wir erkennen, dass der testadmin User das Profil super_user zugewiesen bekommen hat.

Fortinet-3229.jpg

Im Debuglog vom FortiAuthentikator sehen sieht es dann wie folgt aus: https://[IP-ADRESSE-FAC]/debug/radius/

812016+02:00 Received Access-Request Id 65 from 198.18.0.11:33159 to 198.18.0.14:1812 length 103
812056+02:00   User-Name = "testadmin"
812067+02:00   User-Password: ****** 
812078+02:00   Calling-Station-Id = "198.18.195.254"
812090+02:00   NAS-Identifier = "fmg_viaoem-lab-0001"
812100+02:00   Acct-Session-Id = "41"
812110+02:00   Connect-Info = "admin-login"
812173+02:00 # Executing section authorize from file /usr/etc/raddb/sites-enabled/default
812423+02:00 facauth: ===>NAS IP:198.18.0.11 
812457+02:00 facauth: ===>Username:testadmin 
812841+02:00 facauth: ===>Timestamp:1657268425.811124, age:1ms 
814517+02:00 facauth: Found authclient from preloaded authclients list for 198.18.0.11: radius_fmg_viaoem-lab-0001 (198.18.0.11) 
817255+02:00 facauth: Found authpolicy 'auth_SOC_NOC' for client '198.18.0.11' 
817280+02:00 facauth: Setting 'Auth-Type := FACAUTH'
817324+02:00 fac-viaoem-lab-0001 radiusd[9582]: Not doing PAP as Auth-Type is already set.
817352+02:00 # Executing group from file /usr/etc/raddb/sites-enabled/default
817402+02:00 facauth: Client type: external (subtype: radius) 
817414+02:00 facauth: Input raw_username: (null) Realm: (null) username: testadmin 
817424+02:00 facauth: Searching default realm as well
817437+02:00 facauth: Realm not specified, default goes to FAC local user 
819806+02:00 facauth: Local user found: testadmin 
819841+02:00 facauth: User [enable fido: false, token count: 0, revoked_token_count: 0] 
819855+02:00 facauth: Policy [fido_auth_opt: disabled, twofactor: password only, no_fido: two factor, revoked: reject] 
819876+02:00 facauth: Decided on [is_fido: false, two_factor: password only, token_type: none] 
820944+02:00 facauth: Authentication OK
820958+02:00 facauth: Setting 'Post-Auth-Type := FACAUTH'
821581+02:00 facauth: Add Radius attribute: attr_id:809762822 (attr 6, vendor 12356) attr:Super_User 
822153+02:00 facauth: Add Radius attribute: attr_id:809762817 (attr 1, vendor 12356) attr:gr_fnao_admin 
822309+02:00 facauth: Updated auth log 'testadmin': Local user authentication with no token successful 
822361+02:00 # Executing group from file /usr/etc/raddb/sites-enabled/default
822386+02:00 Sent Access-Accept Id 65 from 198.18.0.14:1812 to 198.18.0.11:33159 length 0
822398+02:00   Fortinet-Access-Profile += "Super_User"
822408+02:00   Fortinet-Group-Name += "gr_fnao_admin"


add 07.07.2022 - 4Tinu

Welche Fortinet Radius Attribute unterstützt der FortiAuthenticator?

Sämtliche Attribute welche der FortiAuthenticator unterstützt können direkt auf dem Authenticator entnommen werden:

Config webgui.png Konfiguration über das WebGui:
  • Navigieren über Authentication -> RADIUS Service -> Dictionaries erscheint die Liste:
Fortinet-3205.jpg

Wenn ich einen Doppelklick auf den Hersteller vornehme, bekomme ich alle defnierten Attribute dieses Vendors. In diesem Beispiel sehen wir alle Attribute von Fortinet:

Fortinet-3206.jpg

Hier sehen wir die ganze Liste, sie basiert auf die FAC FortiOS Version 6.4.4:

Name Attribute Number Type
Fortinet-WirelessController-WTP-ID 24 STRING
Fortinet-WirelessController-Device-MAC 23 ETHER
Fortinet-WirelessController-Assoc-Time 25 DATE
Fortinet-Webfilter-Category-Monitor 18 OCTETS
Fortinet-Webfilter-Category-Block 17 OCTETS
Fortinet-Webfilter-Category-Allow 16 OCTETS
Fortinet-Vdom-Name 3 STRING
Fortinet-Tenant-Identification 41 STRING
Fortinet-SSID 7 STRING
Fortinet-Interface-Name 5 STRING
Fortinet-Group-Name 1 STRING
Fortinet-Fpc-User-Role 40 STRING
Fortinet-Fpc-Tenant-User-Sites 42 STRING
Fortinet-FortiWAN-AVPair 26 STRING
Fortinet-FDD-Trusted-Hosts 31 STRING
Fortinet-FDD-SPP-Policy-Group 35 STRING
Fortinet-FDD-SPP-Name 32 STRING
Fortinet-FDD-Is-System-Admin 33 STRING
Fortinet-FDD-Is-SPP-Admin 34 STRING
Fortinet-FDD-Access-Profile 30 STRING
Fortinet-Client-IPv6-Address 4 OCTETS
Fortinet-Client-IP-Address 2 IPADDR
Fortinet-AppCtrl-Risk-Block 22 OCTETS
Fortinet-AppCtrl-Risk-Allow 21 OCTETS
Fortinet-AppCtrl-Category-Block 20 OCTETS
Fortinet-AppCtrl-Category-Allow 19 OCTETS
Fortinet-Access-Profile 6 STRING
Fortinet-AP-Name 8 STRING
Info.svg

Informationen über Radius Attribute allgemein findet man unter folgendem externen Link:


add 07.07.2022 - 4tinu

Wie kann ich auf einem FortiAuthenticator ein Radius Client Konfigurieren? -Version5.0

Nun möchte man zB auf einem FortiGate Device eine Radius Authentication benutzen resp. FortiAuthenticator so muss folgendes als Grundvoraussetzung konfiguriert werden:

       • Vergewissere dich, dass auf beiden Geräten FortiGate und/oder FortiAuthenticator die korrekte Zeitzone 
         gesetzt ist sowie die Zeit korrekt mit dem gleichen Zeit-Server (NTP) synchronisert wird!
         
       • Vergewissere dich, dass beide Devices dh. FortiGate und FortiAuthenticator über einen DNS "A" Record 
         verfügt sowie sofern möglich über einen PTR Record
         
       • Erfasse auf dem FortiGate Device den FortiAuthenticator als Radius Server und vergebe ein "Preshared Secret":
         
         User & Device > Authentication > RADIUS Servers > Create New
         
         Fortinet-1023.jpg

Standardsgemäss läuft Radius auf einer FortiGate auf Port 1812 (New Radius) und Radius Accounting auf Port 1813 (Radius New Accounting). Muss aus irgendwelchen Gründen "Old Radius" (Port 1645) benutzt werden so muss diese Konfiguration über Komandozeile auf der FortiGate durchgeführt werden:

       # config system global
       # set radius-port 1645
       # end
       • Erfasse auf der FortiAuthenticator den FortiGate Device als Radius Client und vergebe das gleiche 
         "Preshared Secret" wie für den Radius Servers auf der FortiGate:
         
         Authentication > RADIUS Service > Clients > Create New
         
         Fortinet-2172.jpg

Bei der Radius Client Konfiguration ist darauf zu achten welche Authentifizierungs Methode benutzt wird sowie ob Local Server oder Remote Server genutzt wird. Weitere Informationen siehe folgender Artikel:

       FortiAuthenticator:FAQ#Was_ist_auf_einem_FortiAuthenticator_zu_beachten_wenn_f.C3.BCr_ein_Radius_Client_verschiedenen_Authentifizierungen_ben.C3.BCtzt_werden.3F

Sobald die Konfiguration durchgeführt wurde, kann die Verbindung die durch das "Preshared Secret" verschlüsselt wird getestet werden. Dafür kann temporaer ein lokaler User auf dem FortiAuthenticator erfasst werden und dieser für Radius Authentication freigegeben werden. Dazu muss ein lokaler User mit dessen Passwort erfasst werden unter:

         Authentication > User Management > Local User > Create New
       • Danach erstelle für diesen User eine lokale Gruppe unter folgender Position und füge den soeben 
         erstellten User hinzu:
         
         Authentication > User Management > User Groups > Create New
         
       • Diese Gruppe muss nun zum entsprechenden Eintrag des "Radius Client" (Auth. Clients) hinzugefügt 
         werden:
         
         Authentication > RADIUS Service > [Wähle den entsprechenden Eintrag für den "Radius Client"]
         
         Füge die entsprechende Gruppe die erstellt wurde hinzu:
         
         Fortinet-2171.jpg
         
       • Nun kann auf dem FortiGate Device im entsprechenden Eintrag des Radius Servers anhand des "Test" 
         Button der Username und Passwort für den User den wir soeben erfasst haben getestet werden:
         
         User & Device > Authentication > RADIUS Servers > [Wähle den entsprechenden Eintrag]

Was ist auf einem FortiAuthenticator zu beachten wenn für ein Radius Client verschiedenen Authentifizierungen benützt werden?

Ein FortiAuthenticator kann verschiendenartig genutzt werden dh. zB um Two-Factor Authentifizierungenen anhand ActiveDirectory/LDAP für VPN Access über eine FortiGate bereitzustellen und gleichzeitig zB Self-Registrtion Funktion über ein Captive Portal für eine SSID auf der gleichen FortiGate. Diesem Umstand wurde im FortiAuthenticator 4.0 Rechnung getragen dh. die verschiedenen Authentifizierungen werden mit verschiedenen Realms und diese wiederum mit deren Gruppen Verknüpft. Dies gewährleistet, dass für einen Radius Client verschiedenen Gruppen und Authentifizierungen unterschieden werden können. Der Nachteil liegt darin, dass die User mit Realms arbeiten müssen dh. es gilt somit anhand der Angabe des Realms zB username\realm ein Login durchzuführen damit anhand des Realm die korrekte Gruppe resp. Authentifizierung ausgelöst wird. Dieser Umstand ist im nachfolgenden Artikel erklärt:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_eine_Gruppe_erstellen_und_diese_f.C3.BCr_einen_Radius_Client_Konfigurieren.3F

Eine andere transparentere Möglichkeit ist für eine FortiGate mehrere Radius Clients zu erfassen und somit die verschiedenen Authentifizierungs Möglichkeiten anhand des Radius Clients zu unterscheiden. Somit würde jeder erfasste Radius Client auf dem FortiAuthenticator die entsprechende Gruppe beinhalten zB eine für Lokal User und eine für Remote User (ActiveDirectory/LDAP). Nachfolgend wird erklärt wie auf einem FortiGate Device dies zu konfigurieren ist und wie dies auf einem FortiAuthenticator durchgeführt wird:

       • Konfiguriere auf dem FortiGate Device einen Radius Server sowie auf dem FortiAuthenticator einen Radius Client:
         
         FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
       
       • Konfiguriere auf dem FortiGate Device eine Gruppe (zB Group-I)und füge dieser Gruppe den Radius Server hinzu:
         
         User & Device > User > User Groups > Create New
         
       • Auf dem FortiAuthenticator wird im entsprechenden Radius Client unter Realms die entsprechende Gruppe (zB Group-I) hinzugefügt:
         
         Authentication > Radius Service > Clients
         
         Fortinet-2173.jpg

Die Standard Konfiguration ist abgeschlossen dh. der konfigurierte Radius Server auf dem FortiGate Device für die Gruppe zB Group-I Authentifiziert mit dem konfigurierten Radius Client auf dem FortiAuthenticator in dem die Gruppe zB Group-I konfiguriert wurde. Ziel der nächsten Konfiguration ist eine Gruppe zB Group-II über einen seperaten Radius Client Konfiguration auf dem FortiAuthenticator zu konfigurieren:

       • Konfiguriere auf dem FortiGate Device auf dem Interface im Segment des FortiAuthenticators eine Sekundäre IPv4 Adresse. Die
         Primäre Adresse des existierenden Interface im Segment des FortiAuthenticators wird benutzt für die existierende Konfiguration
         der Radius Server Konfiguration auf dem FortiGate Device. Die Sekundäre IPv4 Adresse wird nachträglich benutzt für die zweite
         Radius Client Konfiguration auf dem FortiAuthenticator. Konfiguriere die Sekundäre IPv4 Adresse auf dem entsprechenden Interface:
         
         System > Network > Interfaces > [Wähle das entsprechende Interface] > Edit > [Aktiviere Secondary IP Address]
         
         Die Konfiguration kann ebenfalls über CLI durchgeführt werden:
         
         # config system interface
         # edit [Name des entsprechenden Interfaces]
         # set secondary-IP enable
         # config secondaryip
         # edit 1
         # set ip [IPv4 Adresse zB 192.168.1.1/32]
         # unset allowaccess 
         # end
         # end
         
         Wenn Festgestellt werden muss über welches Interface ein bestehenden Radius Traffic durchgeführ wird kann über das "sniffer" 
         Kommando über CLI dies verifiziert werden.
         
         # diagnose sniffer packet any "port 1812"
         
       • Nun erstelle auf dem FortiGate Device einen weiteren Eintrag für den Radius Server. Dabei kann die gleiche IPv4 Adresse benutzt
         werden wie für den bereits existierenden Eintrag des Radius Server jedoch müssen sich die Namen der Radius Server unterscheiden.
         Ebenso muss sich das "Pre-Shared Secrect" vom bereits existierenden Eintrag unterscheiden. Weitere Informationen wie man einen
         Radius Server auf einem FortiGate Device Konfiguriert siehe nachfolgender Artikel:
         
         FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
         
       • Erstelle nun auf dem FortiGate Device eine Gruppe (zB Group-II) und füge dieser Gruppe den neu erstellen Radius Server Eintrag
         hinzu:
         
         User & Device > User > User Groups > Create New
         
         Auf dem FortiGate Device sind nun zwei Einträge vorhadnen für den gleichen FortiAuthenticator die sich nur durch den Namen sowie
         Pre-Shared Secret unterscheiden. Ebenso existieren 2 Gruppen für die jeweils ein Radius Server konfiguriert wurde.
         
       • Nun muss auf der FortiGate für die zweite Radius Server Konfiguration die Source IPv4 Adresse so konfiguriert werden damit die
         Sekundäre IPv4 Interface Adresse benutzt wird. Führe folgendes auf der CLI aus:
         
         # config user radius
         # edit [Namen des entsprechenden Radius Servers]
         # set source-ip [IPv4 Adresse des Sekundären Interfaces]
         # end
         
         Wenn nun die konfigurierten Radius Server auf dem FortiGate Device Authentifizierungs Nachrichten zum FortiAuthenticator senden,
         benutzen diese unterschiedliche IPv4 Adressen dh. ein Radius Server über die Primäre IPv4 Adresse des Interfaces und ein Radius
         Server die Sekundäre IPv4 Adresse des Interfaces und können somit auf dem FortiAuthenticator unterschieden werden.
         
       • Auf dem FortiAuthenticator kann nun ein weiterer Radius Client erfasst werden basierend auf der Sekundären IPv4 Adresse des 
         Interfaces auf der FortiGate sowie mit dem entsprechenden Pre-Shared Secret. Ebenso kann diesem Eintrag eine Gruppe hinzugefügt
         werden mit der entsprechenden Authentifizierungs Möglichkeiten die sich zB vom ersten Eintrag komplett unterscheidet:
         
         Authentication > Radius Service > Clients
         
         Fortinet-2173.jpg

In dieser Art und Weise kann für jede Gruppe und Authentifizierungs Möglichkeit über seperate Radius Clients diese unterschieden werden.

Remote Auth Servers

Wie kann ich auf einem FortiAuthenticator ein ActiveDirectory/LDAP Einbindung Konfigurieren?

Ein LDAP Server wird über folgende Position definiert/konfiguriert:

       Authentication > Remote Auth. Servers > Create New
       Fortinet-1020.jpg

Für eine Verschlüsselung steht zusätzlich "Secure Connection" zur Verfügung. Ueber diese Funktion kann die Verbindung zu einem ActiveDirectory/LDAP Verschlüsselt durchgeführt werden:

       Fortinet-1021.jpg

Sobald der LDAP ordnungsgemäss konfiguriert wurde sollte über die folgende Position innerhalb der LDAP Konfiguration auf dem FortiAuthenticator der LDAP anhand dem "Browse" Symbole getestet werden:

       Fortinet-1022.jpg

Wie kann ich auf einem FortiAuthenticator zusätzlich für Fallback einen Sekundäres ActiveDirectory/LDAP Konfigurieren?

Unter dem FortiAuthenticator 3.0 war es nicht möglich, bei der Konfiguration eines ActiveDirectory/LDAP Servers, einen zweiten Sekundäres ActiveDirectory/LDAP Server zu konfigurieren um einen "Fallback" abzudecken. Im FortiAuthenticator ab Version 3.1 ist dies nun möglich und wird unter folgender Position konfiguriert:

       Authentication > Remote Auths Servers > LDAP > [Aktiviere "Use secondary server"]
       Fortinet-2170.jpg

Dabei ist folgendes zu berücksichtigen: Das Sekundäre ActiveDirectory Server resp. LDAP wird nur dann benutzt wenn der Primäre nicht erreichbar ist!

Wie kann ich auf einem FortiAuthenticator für User aus einem ActiveDirectory/LDAP eine Tocken Authentication Konfigurieren?

Wenn im FortiAuthenticator ein ActiveDirectory resp. LDAP User für Token sei es Hardware Token oder SMS basierend eingebunden werden möchte, muss der User aus dem ActiveDirectory/LDAP importiert werden damit dem User nachträglich ein entsprechender Token hinzugefügt werden kann. Wird ein SMS Token benutzt so können die Mobile Informationen des Users aus dem ActiveDirectory/LDAP ebenfalls mit Importiert und genutzt werden sofern diese im Active Directory korrekt hinterlegt wurden. Ausgangslage um die User aus einem ActiveDirectory/LDAP zu Importieren ist die Konfiguration des ActiveDirectory/LDAP Servers selber. Weitere Informationen dazu siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_ActiveDirectory.2FLDAP_Einbindung_Konfigurieren.3F

Nach dem der ActiveDirectory resp. LDAP Server konfiguriert wurde kann über die nachfolgende Position ein entsprechender User mit dessen Informationen Importiert werden:

       Authentication > User Management > Remote Users
       Fortinet-1061.jpg

Zusätzlich zu dieser import Funktion steht ebenfalls die "Remote User Sync Rules" zur Verfügung. Diese Funktion gewährleistet, dass die Informationen aus dem ActiveDirectory resp. LDAP betreffend User auf den neusten Stand gehalten werden da Updates im ActiveDirectory resp. LDAP wie zB Mobile Nummer Aenderungen der User nicht automatisch auf dem FortiAuthenticator eingespielt werden:

       Authentication > User Management > Remote User Sync Rules
       Fortinet-1062.jpg

Was muss ich beachten wenn im ActiveDirectory/LDAP User Informationen geändert werden die auf einem FortiAuthentictaor Konfiguriert sind?

Wenn über die "Remote Users" Funktion ActiveDirectory respektive LDAP User importiert werden inkl. zusätzlicher Informationen wie zB deren Mobile Nummer werden diese nicht automatisch auf dem FortiAuthenticator auf den neuesten Stand gebracht wenn diese im ActiveDirectory resp. LDAP verändert werden. Dies kann auf der einen Seite Manuell durchgeführt werden oder Automatisiert. Für die manuelle Variante wird der User erneut als "Remote User" importiert und somit auf den neusten Stand gebracht. Für die automatische Variante steht die Funktion "Remote User Sync Rules" zur Verfügung:

       Fortinet-1063.jpg

Bei dieser Funktion ist Vorsicht geboten. Bei einer falschen Konfiguration kann es dazu kommen das die User Information Fälschlicherweise überschrieben werden. Es ist zu empfehlen die Funktion nur dann zu nutzen wenn nicht darauf verzichtet werden kann!

Wo kann ich für einen FortiAuthenticator den Agent for Microsoft Windows oder Outlook Web Access runterladen?

Den Microsoft Windows Agent sowie den Outlook Web Access Agent kann man direkt im FortiAuthenticator runterladen:

Authentication > FortiAuthentication Agent

Dieser Agent steht unter Fortinet Support resp. im Download Verzeichnis des FortiAuthenticator nicht zur Verfügung und kann ausschliesslich über den FortiAuthenticator runtergeladen werden. Vor der Installation ist zu empfehlen die entsprechenden Admin Guides zu konsultieren:


edit 28.06.2024 - 4Tinu

Wie kann ich auf einem FortiAuthenticator für einen Windows Server eine Radius Authentifizierung anhand pGina Konfigurieren?

Grundsätzlich steht für einen Windows Server im Verwendung zum FortiAuthenticator der "Agent for Microsoft Windows" zur Verfügung. Dieser Agent ermöglicht eine "reine" Two-Factor Authentifizierung basierend auf LDAP und Radius Server! Wenn jedoch eine "Einfache Radius" Authentifizierung gewünscht wird bewerkstelligt dies dieser "Agent for Microsoft Windows" nicht. Der "Agent for Microsoft Windows" basiert auf der "Gina" Schnittstelle von Windows. Das OpenSource Project "pGina" benutzt exakt die gleiche Vorgehensweise und ist deshalb predistiniert für eine reine "Radius Authentifizierung". pGina benutzt dazu sein eigenes "Radius Plug-In". Nachfolgendes Beispiel zeigt wie "pGina" installiert sowie konfiguriert wird:

       •Plugin Name: RADIUS Authentication & Accounting Plugin
       •Plugin Type: Authentication, Notification
       •Version: 3.1.x
       
       pGina Page                     http://pgina.org/
       pGina Download                 http://pgina.org/download.html
       RADIUS Plugin Documentation    http://pgina.org/docs/v3.1/radius.html

Nachfolgendes Beispiel wurde im Zusammenhang mit einem Windows 2008 R2 Server durchgeführt!

         Konfigurieren des Radius Client (Windows Server) auf dem FortiAuthenticator für pGina:
       
       • Erfasse den Windows Server auf dem Authenticator als "Radius Client" und achte darauf, dass
         unter dem Eintrag des "Radius Client" folgende Position aktiviert ist:
         
         Password-only authentication (exclude users without a password)
         
         NOTE pGina unterstützt keine Two-Factor Authentification!
         
         Weitere Details betreffend des Erfassens des "Radius Client" auf dem FortiAuthenticator siehe
         nachfolgenden Artikel:
         
         FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_ein_Radius_Client_Konfigurieren.3F
         Installation von pGina:
       
       • Lade die Software pGina von der oben genannten Seite runter und starte die Installation anhand
         des Files "pGinaSetup-3.1.8.0.exe". Achte darauf das pGina mit vollen Administratoren Rechten
         installiert wird.
      
       • Nach der Installation befindet sich unter "Start > All Programs" ein neuer Order mit dem Namen
         "pGina". Darin befindet sich Konfigurations Utilitie "pGina":
         
         "C:\Program Files\pGina\pGina.Configuration.exe"
         
         Fortinet-1069.jpg
         Radius Plug-In Konfiguration von pGina:
       
       • Unter dem Register "Plug-In Selection" aktiviere die "Radius" Position gemäss Abbildung:
       
         Fortinet-1070.jpg 
       
       • Danach markiere die Zeile für "Radius" und gehe auf "Configure":
         
         Server                   [Gebe die IP des FortiAuthenticators an]
         Shared Secret            [Gebe das Shared Secret an das für den Radius Client auf dem FortiAuthenticator definiert wurde]
         Maschine Identifier      [IP Address Only]
         
         Fortinet-1071.jpg 
       
       • Der nächste Schritt ist Optional und wird dann benötigt wenn der User der einloggt über "pGina" in eine bestimmt Gruppe
         hinzugefügt werden soll. In unserem Beispiel wird "pGina" auf einem Terminal Server benutzt dh. damit die User -die lokal
         nicht existieren sondern beim einloggen angelegt werden- einloggen können müssen diese zur Gruppe "Remote Desktop Users"
         hinzugefügt werden. Um die Konfiguration durchzuführen markiere die Zeile für "Local Machine". Danach gehe auf "Configure":
         
         Je nachdem "was" für Software installiert wird und je nachdem über welche Rechte die User verfügen sollen muss die "reguläre" 
         Gruppe "Users" ebenfalls hinzugefügt werden!
         
         Fortinet-1072.jpg 
       
       • Nun muss als nächsten Schritt die Authentifizierungs Reihenfolge geändert werden dh. von "Local Maschine" auf "Radius". 
         Dazu wähle den Register "Plug-In Order" und verändere entsprechend die Reihenfolge:
        
         Fortinet-1073.jpg
        
       • Nun muss verhindert werden, dass die lokale Authentifizierung auf dem Windows Server berücksichtigt wird resp. unterdrückt
         wird. Dazu wähle den Register "Credential Provider Options" und führe folgende Konfiguration durch:
        
         Fortinet-1074.jpg
         Windows Group Policy Konfiguration:
       
       • Damit die RDP Verbindung im Zusammenhang mit dem Windows Terminal Server sowie "pGina" funktioniert muss die RDP Verbindung
         betreffend Verschlüsselung auf "Low Level" gesetzt werden. Dazu führe als Administrator folgendes aus:
         
         Start > Run > GPedit.msc
         
         Wähle die entsprechende Position gemäss Abbildung und danach setzt für die Verbindung resp. Encryption "Low Level":
         
         Fortinet-1075.jpg
         
         Fortinet-1076.jpg
       
       • Als Letzteres muss die Password Komplexität deaktiviert werden ansonsten erscheinen Fehlermeldungen unter "pGina" im Register
         "Simulation". Die Passwort Komplexität wird über den FortiAuthenticator gesteuert unter "Authentication > User Account Policies >
         Passwords". Wähle gemäss Abbildung die entsprechende Position und setze diese auf Disabled:
        
         Fortinet-1077.jpg
         Testen der pGina Funktion:
       
       • Nun kann das "pGina" Radius Plug-In getestet werden dh. Vorraussetzung dafür ist:
         
         --> Korrekt erfasster (Preshared Secret und IP) Radius Client (Windows Server) auf dem FortiAuthenticator
         --> Existierender User auf dem FortiAuthenticator der in einer entsprechenden Gruppe Mitglied ist und diese für den Radius Client konfiguriert ist
         
         Im "pGina" Plug-In gehe nun auf den Register "Simulation" und gebe dort den entsprechenden Username und Passwort ein. Danach gehe
         auf den "grünen Pfeil" neben den Passwort. Die Werte werden abgespeichert und die Verbindung getestet. Im Bereich "Results" wird 
         ein erfolgreicher Test protokolliert. Details dieses Test können unter "Show Log" eingesehen werden.

Messsaging Service/Server

Wie kann ich auf einem FortiAuthenticator ein SMTP Server Konfigurieren für Versendung von Email Nachrichten?

Ein SMTP Server der dazu dient EMails für die Services auf einem FortiAuthenticator zu versenden wie zB für Two-Factor kann unter folgender Position definiert werden:

       System > Messaging > SMTP Servers > Create New
       Fortinet-1008.jpg

Ein entsprechender Server kann als "Default" definiert werden. Dies bedeutet: Wenn zwei SMTP Server konfiguriert werden und einer dieser als "Default" definiert wird gilt dieser der nicht als "Default" definiert als "Fallback" SMTP Server:

       Fortinet-1009.jpg

Der neu erfasste "SMTP Server" muss/kann nun für den E-Mail Service betreffend User/Administratoren zugewiesen werden! Wird dies nicht explizit durchgeführt gilt die Definitin des "Default Server". Die Konfiguration wird unter folgende Position durchgeführt:

       Fortinet-1036.jpg

Wie kann ich auf einem FortiAuthenticator ein SMS Gateway konfigurieren für die Versendung von SMS Nachrichten?

Wenn auf dem FortiAuthenticator für die Two-Factor Authentication SMS Nachrichten versendet werden sollen, stehen folgende Protokolle zu Verfügung:

  • SMTP
  • HTTP (Get oder Post)
  • HTTPS

Die bevorzugte Variante ist HTTP oder HTTPS. Der Grund ist der folgende: Die Nachrichten werden für HTTP/HTTPS direkt beim SMS Provider abgesetzt und müssen nicht wie bei der SMTP Methode zuerst über Mailgateways versendet werden. Somit ist die Zustellung zuverlässiger und schneller. Wenn man sich dennoch für die SMTP Methode entscheidet wird das folgendermassen konfiguriert:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:
  1. Im Menu System->Messaging->SMS Gateway -> Create New
Fortinet-2703.jpg
Fortinet-2706.jpg
  1. Name definieren
  2. SMTP bei der Option Protocol: selektieren.
  3. bei SMTP server den Konfigurierten SMTP Server auswählen
  4. Die Felder mit den Variabeln gemäss Bild eintragen
  5. Unter Email Preview: kann man sehen wie die SMS ausgeliefert wird.
Fortinet-1010.jpg
Fortinet-2702.jpg

Bei der Definierung der Position "Mail-to-SMS gateway" muss darauf geachtet werden, dass evtl. die Variable "{{:country_code}} VOR der Variable {{:mobile_number}} gesetzt wird. Die Einstellungen können über die Position "E-mail Preview" kontrolliert werden:

Fortinet-1011.jpg
Fortinet-2707.jpg

Wie gesagt die bevorzugte Variante wäre HTTP Get resp. HTTPS Get. Der Vorteil dieser Art und Weise der SMS Übermittlung liegt daran, dass die SMS Auslösung in "Echtzeit" geschieht. Dies bedeutet: Das SMS wird über z.Bsp über "HTTP Get/Post" direkt über eine URL beim Provider abgesetzt resp. ausgelöst und muss nicht über Email zuerst ausgelöst und zum Provider übermittelt werden (Zeitverzögerung). Eine "HTTP Get" Implementierung unterscheidet sich nicht gegenüber einer "HTTPS Get" Implementierung dh., dass ausser bei "HTTPS Get" das "Trusted Certificate" des SMS Providers in der CA des Authenticators eingelesen werden muss:

       Certificate Management > Certifcate Authorities > Trusted CAs > Import

Nachdem das entsprechende Zertifikat importiert wurde kann dieses nachträglich in der SMS Gateway Konfiguration unter "CA certificate" konfiguriert werden. Von einer "HTTP Post" Implementierung ist abzusehen da die Kompatibilität gegenüber den Providern mehrheitlich nicht gegeben ist. Ebenso sprechen div. "Security Aspekte" nicht für eine HTTP Post Implementierung. Hinsichtlich, dass für die Übermittlung ein "Username" und "Passwort" übermittelt werden muss ist es empfehlenswert "HTTPS Get" zu benutzen um das Passwort nicht "clear-text" übermitteln zu müssen. Grundsätzlich funktioniert die Übermittlung anhand einer URL dh., man bekommt vom Provider eine Seite/Funktion über dessen URL ein SMS abgesetzt werden kann. Es gilt nun diese URL in ihre Bestandteile zu zerlegen und die einzelnen Funktionen dem "FortiAuthenticator" unter "SMS Gateway" mitzuteilen. Wenn dies korrekt durchgeführt wurde, wird dies über "URL Preview" in der Konfiguration angezeigt und kann getestet werden. Im nachfolgenden Beispiel, einer Implementierung des Providers, sieht die URL folgendermassen aus:

Konfig Parameter für Dolphin System AG:

Infos über Dolphin Systems AG findet man auf der Page http://www.dolphin.ch

URL Preview:  
http://www.ecall.ch/ecallurl/ecallurl.ASP?'''WCI=Interface'''&'''Function=SendPage'''&'''Address=0041795555555'''&'''Message=Test'''&'''AccountName=Username'''&'''AccountPassword=Password'''

In diesem Beispiel sind die relevanten Funktionen:

Variabel: Inhalt:
API URL www.ecall.ch/ecallurl/ecallurl.ASP

WCI

Interface

Function

SendPage

Address

Mobile Nummer mit Landesvorwahl

Message

Nachricht die Übermittelt werden soll

AccountName

Username des Accounts beim SMS Provider

AccountPasswort

Passwort des Accounts beim SMS Provider

Diese Informationen müssen nun dem "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:
Fortinet-1012.jpg
Fortinet-2704.jpg

Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Dolphin Systems AG" folgender Code: ResultPage\sResultCode:0

Konfig Parameter für Truesenses:

Infos über Truesenses findet man auf der Page: http://www.truesenses.com

URL Preview:  
http://www.truesenses.com/cgi-bin/smsgateway.cgi?'''CMD=SENDMESSAGE'''&'''NUMBER=0041795555555'''&'''MESSAGE=Test'''&'''ACCOUNT=Username'''&'''PASSWORD=Password'''

In diesem Beispiel sind die relevanten Funktionen:

Variabel: Inhalt:
API URL www.truesenses.com/cgi-bin/smsgateway.cgi

CMD

SENDMESSAGE

NUMBER=

Mobile Nummer mit Landesvorwahl

MESSAGE

Nachricht die übermittelt werden soll

ACCOUN

Username des Accounts beim SMS Provider

PASSWORD

Passwort des Accounts beim SMS Provider

Diese Informationen müssen nun dem "SMS Gateway" für HTTP Get Konfiguration mitgeteilt werden:

Config webgui.png Konfiguration im WebGui FortiOS 4.x/5.x: Config webgui.png Konfiguration im WebGui FortiOS 6.x:
Fortinet-1013.jpg
Fortinet-2705.jpg

Wenn ein "Success Response Code" mitgegeben werden soll ist das bei "Truesenses" folgender Code: 01 SENT

Wo kann ich auf einem FortiAuthenticator das Token Timeout für einen SMS/SMTP Gateway konfigurieren?

Der Token der über einen entsprechenden Konfigurierten SMS und/oder SMTP Gateway versendet wird beinhaltet ein Timout dh. Die definierte Zeit wie lange ein Token für ein Login Zur Verfügung steht, nachdem er vom FortiAuthenticator über den entsprechenden SMS und/oder SMTP Gateway versendet wurde. Das Token Timeout lässt sich auf einem FortiAuthenticator über folgende Menüposition Konfigurieren:

Config webgui.png Konfiguration über das WebGui:

FortiOS 4.x/5.x:
Im OS 4.x oder 5.x kann über das Menu Authentication > User Access Policies > Tokens > Email/SMS die Timeouts konfiguriert werden:

Fortinet-2197.jpg

FortiOS 6.x:
Im OS 6.x kann über das Menu User Account Policies -> Tokens die Timeouts konfiguriert werden:

  1. Im Feld FortiToken der Menüpunkt TOTP authentication window kann der Wert für die FortiToken Timeouts konfiguriert werden. Default ist 1 Minute eingestellt. Möglich ist 1 Minute - 60 Minuten.
  2. Unter Email/SMS kann der Token Timeout in Sekunden (10-3600) angepasst werden.
Fortinet-2676.jpg
Tipp.png

Beachte auch folgenden Artikel:
Token Time out auf FortiGate anpassen

Wie konfiguriere ich einen User mit SMS Authentifizierung auf dem FortiAuthenticator?

Config webgui.png Konfiguration über das WebGui:

Einen User eröffnen: (wir eröffnen jetzt einen lokalen User, der Ablauf um den Token beim User hinzuzufügen basiert auf dem selben Prinzip.

  1. Über das Menue Authentication->User Management->Local Users -> Createnew.jpg einen neuen User erstellen.
  2. Den User erfassen mit Username und Passwort (Passwort muss mindestens 8 Zeichen lang sein).
Fortinet-2708.jpg

Nun wird dem User der SMS Token hinzugefügt. Dafür müssen wir den User editieren.

  1. Wieder über das Menu Authentication->User Management->Local Users -> den entsprechenden User editieren.
  2. Unter User information kann jetzt die Mobile Nummer des Users hinzugefügt werden. Dabei ist auf das Format zu achten: +Landesvorwahl-Mobilenummer Der Bindestrich zwischen Landesvorwahl und Mobilenummer ist wichtig!
  3. Beim SMS-Gateway kann der SMS Provider ausgewählt werden. Wie man einen SMS Provider konfiguriert, kann im folgenden Beitrag nachgelesen werden: SMS-Gateway konfigurieren
  4. Nun kann die Option Token-based authentciation angewählt werden und die erfasste Mobile Nummer unter dem Punkt SMS (MobileNummer in Klammer) selektiert werden.
  5. Wenn gewünscht, kann über den Test Token' Button noch eine Test SMS versendet werden.
Fortinet-2709.jpg

Ergebnis:
Wenn sich jetzt der entsprechende User mit Benutzername und Passwort authentifiziert, bekommt er noch als OTP eine SMS auf das Mobile gesendet, das in etwa so aussieht:

Fortinet-2710.jpg

Radius Attributes

Wie Konfiguriere ich auf einem FortiAuthenticator Radius Attributes?

Im Zusammenhang mit einer Radius Authentifizierung können verschiedene Radius Attributes verwendet werden. Diese Radius Attributes werden auf einem Radius Server zB FortiAuthenticator für eine User Authentifizierung dem Radius Client zB einem FortiGate Device nach erfolgreicher Authentifizierung mitgegeben/zurückgesendet damit der Radius Client basierend auf diesen Radius Attributes Aktionen, Zugehörigkeit etc. Ausführen kann. Weitere Informationen zu den Radius Attributes findet man unter folgenden Link:

      https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service

Für Radius Attributes Konfiguration stehen etliche Vendor Specific Attributes zur Verfügung die in verschiedenster Art und Weise verwendet werden können. Für ein praktisches Anwendungsbeispiel im Zusammenhang mit einer SSL-VPN Authentifizierung für einen FortiGate Device siehe nachfolgender Artikel:

       FortiGate-5.4-5.6:FAQ#Wie_konfiguriere_ich_auf_einer_FortiGate_unter_FortiOS_5.4_eine_.22Radius.22_Authentifizierung_inkl._Radius_Attributes.3F

Radius Attributes können auf einem FortiAuthenticator für User, Gruppen sowie für Radius Clients Konfiguriert werden. In erster Linie wird empfohlen Radius Attributes in Gruppen zu verwenden:

       Authentication > User Management > User Groups
       Fortinet-2179.jpg
       Fortinet-2180.jpg
       Fortinet-2181.jpg
       Fortinet-2182.jpg

In diesem Beispiel wird als Radius Attribute Vendor Spezifisch "Fortinet" gewählt sowie "Fortinet-Group-Name". Dazu wird der Gruppen Name des FortiGate Devices Konfiguriert anhand "gr-admin". Somit wird eine Authentifizierung ausgeführt und der entsprechende User befindet sich in dieser Gruppe wird als Radius Attribute dem FortiGate Device zurück gemeldet "member of gr-admin". Wie schon erwähnt können Radius Attributes ebefenfalls für User sowie innerhalb eines Radius Client Konfiguriert werden. User basierende Attributes könne nur dann Konfiguriert werden wenn die "Role" des Users nicht auf "Administrator" Konfiguriert wurde:

       Authentication > Local Users > [Wähle einen entsprechenden User] > RADIUS Attributes
       Fortinet-2183.jpg

Wenn ein Radius Attribute innerhalb einer Radius Client Konfiguration defniert werden soll kann dies unter folgender Position durchgeführt werden:

       Authentication > RADIUS Service > Clients > [Wähle den entsprechenden Radius Client] > Apply this profile based on RADIUS attributes
       Fortinet-2184.jpg

Backup/Restore

Wie kann ich für einen FortiAuthenticator ein Backup/Restore ausführen?

Ein manuelles Backup und/oder Restore kann unter folgender Position erstellt werden:

       System > Dashboard > Status > System Information > System Configuration > Backup/Restore
       Fortinet-1005.jpg
       Fortinet-1006.jpg

Ein Backup eines FortiAuthenticator besteht aus einem ".conf" File. Dieses File ist jedoch nicht editierbar und/oder leserlich sowie ist ein "binary" File.

Wie kann ich auf einem FortiAuthenticator ein Backup Automatisieren?

Ein Backup für einen FortiAuthenticator lässt sich über "FTP/SFTP" Automatisieren und zwar über folgende Position:

       System > Administration > Config Auto-backup
       Fortinet-2174.jpg

Der entsprechende FTP Server der unter der gezeigten Position gewählt werden muss, kann über folgende Position konfiguriert werden:

       System > Administration > FTP Servers > New
       Fortinet-1007.jpg

Monitor

Wie kann ich auf einem FortiAuthenticator User Monitoren betreffend deren Status zB Inaktive, Lockout?

Folgende Monitoring Position ermöglichen einen Ueberlick zu geben über "Windows AD" User, "Inaktive User" oder "Lockout Users:

       Monitor > Authentication > [Wähle die entsprechende Position]
       Fortinet-1060.jpg

Logging

Wo sehe ich das Log eines FortiAuthenticators?

Wie finde ich auf einem FortiAuthenticator dessen Log?

Das Log eines FortiAuthenticators befindet sich unter folgender Position:

       Logging > Log Access > Logs
       Fortinet-1054.jpg

Wenn ein Log-Eintrag gewählt wird so werden die Details auf der rechten Seite angezeigt! Jede Authentifizierung löst im Log einen entsprechenden Log Eintrag oder mehrer entsprechende Log Einträge aus.

Wie kann ich für einen FortiAuthenticator dessen Logs Automatisiert auf einen Remote Server Transferieren?

Um die Logs eines FortiAuthenticators automatisiert auf einen FTP/SFTP zu übermittelnt kann folgendes Konfiguriert werden:

       Logging > Log Config > Log Setting
       Fortinet-1055.jpg

In dieser Konfiguration muss ein entsprechender FTP/SFTP Server angegeben werden. Diese Konfiguration eines FTP/SFTP Server kann über folgende Position durchgeführt werden:

       System > Administration > FTP Servers
       Fortinet-1056.jpg

Wie kann ich auf einem FortiAuthenticator dessen Logs Automatisiert und Zeitbasierend Löschen?

Der FortiAuthenticator verfügt über eine "autodeletion" Funktion betreffend seinen Logs. Diese Konfiguration befindet sich unter folgender Position:

       Logging > Log Config > Log Setting
       Fortinet-1057.jpg

In diesem Zusammenhang mit der "autodeletion" Funktion sollte berücksichtigt werden, dass die Logs ebenfalls auf einen Remote Server gespielt werden können dh. Diese zwei Funktionen ergänzen sich und können gemeinsam benutzt werden. Weitere Informationen zur Funktion der Transferierung der Logs auf einen Remote Server findet man im nachfolgenden Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_f.C3.BCr_einen_FortiAuthenticator_dessen_Logs_Automatisiert_auf_einen_Remote_Server_Transferieren.3F

Wie kann ich auf einem FortiAuthenticator für dessen Logs ein Syslog Server Konfigurieren?

Der FortiAuthenticator bietet die Funktion seine Logs einem Syslog Server zu übermitteln. Unter folgender Position wird ein Syslog Server Konfiguriert:

       Logging > Log Config > Syslog Servers
       Fortinet-1058.jpg

Nach der Definition eines Syslog Servers kann die Syslog Funktion über folgende Position aktiviert werden:

       Logging > Log Config > Log Setting
       Fortinet-1059.jpg

Dabei ist zu berücksichtigen, dass ein FortiAuthenticator seine Logs über Syslog auch einen FortiAnalyzer senden kann dh. im FortiAanlyzer wird der FortiAuthenticator zur Syslog Funktion hinzugefügt. Ab FortiAuthenticator 4.2 im Zusammenhang mit einem FortiAnalyzer 5.4.2 können die Logs des FortiAuthenticator direkt zum FortiAnalyzer gesendet werden dh. nicht mehr unter Benutzung eines Syslog Server. Weitere Informationen siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_dessen_Logs_ein_FortiAnalyzer_Konfigurieren.3F

Wie kann ich auf einem FortiAuthenticator für dessen Logs ein FortiAnalyzer Konfigurieren?

Bis FortiAuthenticator 4.1 war es nur möglich anhand einer Syslog Konfiguration die Logs zu einem FortiAnalyzer zu senden. Weitere Informationen wie dies zu Konfigurieren ist siehe nachfolgender Artikel:

       FortiAuthenticator:FAQ#Wie_kann_ich_auf_einem_FortiAuthenticator_f.C3.BCr_dessen_Logs_ein_Syslog_Server_Konfigurieren.3F

Ab FortiAuthentictor 4.2 steht nun explizit eine Konfiguration für einen FortiAnalyzer zur Verfügung die benutzt werden ab FortiAnalyzer 5.4.2 Build 1117. Diesen Konfigurationspunkt findet man unter folgendem Menüpunkt:

       Logging > Log Config > Log Setting > FortiManager/FortiAnalyzer
       Fortinet-2198.jpg

Debug

Wie komme ich im FortiAuthentikator in den Debug Modus?

Config webgui.png Konfiguration über das WebGui:

Um in den Debug Modus des FortiAuthentikators zu gelangen, muss folgende URL im Browser eingegeben werden:

  • https://<IP-Adresse-FAC>/debug

Es können nun verschiedene Debug Logs ausgewählt werden:

Fortinet-1937.jpg

Es kann noch in einen erweiterten Debug Modus eingewählt werden, von welchem aus mann noch mit Username und Passwort tests durchführen kann:

Fortinet-1938.jpg

Wen man im erweiterten Debug Modus eingelogt ist, wird dies durch den Hinweis Debugging mode active angezeigt. Es kann jetzt ein Username und Passwort eingegeben werden um entsprechende Users zu überprüfen.

Fortinet-1935.jpg

Hier sehen wir einen Output im debug Modus:

Fortinet-1936.jpg

Der ganze Output kann in der Menuleiste über das Symbol Fortinet-1939.jpg heruntergeladen werden und so für Auswertungen und Analysen benutzt werden.


edit 26.06.2024 - 4Tinu

CLI

Welche Kommandozeilen Basierte Kommandos stehen auf einem FortiAuthenticator zur Verfügung?

Auf einem FortiAuthenticator kann nachdem erfolgreichen Login anhand "help" der zur Verfügung stehenden Befehlsatz abgerufen werden:

Config cli.png Konfiguration über die CLI:
 
        > help
        
        FortiAuthenticator Console
        General:
                help            Display this text.
                ?               Synonym for `help'.
                exit            Exit from the CLI.
        Configuration:
                show            Show bootstrap configuration.
                set             Set configuration parameter (set <attribute> <value>).
                                Available attributes/values for set:
        
                                        port1-ip         <IP/netmask>
                                                          e.g. port1-ip 1.2.3.4/24
                                        default-gw       <IP>
                                        date             <YYYY-MM-DD>
                                        time             <HH:MM:SS>
                                        tz               <timezone_index>
                                                          e.g. tz 4
                                        ha-mode          <enable|disable>
                                        ha-port          <interface name>
                                        ha-priority      <high|low>
                                        ha-mgmt-ip       <IP/netmask>
                                                          e.g. ha-mgmt-ip 1.2.3.4/24
                                        ha-mgmt-access   <ssh|https|http|telnet>
                                                          e.g. ha-mgmt-access ssh http
                                        ha-dbg-level     <level>
                                                          levels: -4 (Fatal) -> 4 (Debug high), default: -2 (Warn)
        
                unset           Unset configuration parameter (unset <attribute>).
                                Available attributes for unset:
        
                                        port1-ip        
                                        default-gw      
                                        ha-mgmt-ip      
                                        ha-mgmt-access  
        
        System:
                reboot          Reboot the FortiAuthenticator.
                factory-reset   Reformats harddisk and resets configuration to factory defaults.
                shutdown        Shutdown the FortiAuthenticator.
                status          Display system status information.
                ha-rebuild      Rebuild an HA node from the peer's database.
                restore-admin   Enable default admin access methods on port1.
        Utilities:
                dig             Advanced tool for DNS debugging.
                nslookup        Basic tool for DNS debugging.
                ping            Test network connectivity to another network host.
                tcpdump         Examine local network traffic.
                traceroute      Examine route taken to another network host.
        Diagnostics:
                hardware-info   Display general hardware status information.
                disk-attributes Display system disk attributes.
                disk-errors     Display any system disk errors.
                disk-health     Display disk health information.
                disk-info       Display disk hardware status information.
                raid-hwinfo     Display RAID hardware status information.

edit 26.06.2024 - 4Tinu