Fortinetゲートウェイの構成

このタスクでは、Fortinet Webベースの管理コンソールを使用してFortinetとRADIUSを統合します。

手順

  1. RADIUS Serverプロファイルの定義
  2. ファイアウォール グループの定義
  3. IPv4ポリシーの定義
  4. 認証/ポータル マッピングの定義

はじめに

  • 共通のUDPポートおよび秘密鍵の値が利用できることを確認します。

パート3では、RADIUS Serverプロファイル、RADIUS Server、ファイアウォール グループ、IPv4ポリシー、認証/ポータル マッピングの順に定義します。Fortinet Webベースの管理コンソールを使用してこれらを完成させます。

RADIUS Serverプロファイルの定義

  1. 十分な権限でVPNアプライアンス向けのFortinet管理コンソールにサインインします。
  2. [User & Device(ユーザーおよびデバイス)]>[RADIUS Servers(RADIUSサーバー)]に進み、[Create New(新規作成)]をクリックして以下のように新規RADIUSサーバーを定義します。

  3. 以下の値を入力して新規RADIUSサーバーを作成します。

    フィールド
    名前一意かつ適切な名前(Okta MFA RADIUS)
    プライマリ サーバーIP/名前Okta RADIUS ServerエージェントのIPまたは名前
    プライマリ サーバー シークレット上記パート2のステップ3で定義したFortinet Fortigate (RADIUS) アプリの秘密鍵
    予備サーバーIP/名前オプション
    予備サーバー シークレットオプション
    認証方法指定
    方式PAP
    NAS IP空白
    各ユーザーグループに含めるチェック解除

    注: FortiGateはデフォルトでポート1812を使用します。この設定を変更するには、以下のコマンドラインの手順に従います。

  4. [OK]をクリックしてこれらの設定を保存します。
  5. リモート認証タイムアウトを設定します

    Fortinetのデフォルト タイムアウトは5秒ですが、このタイムアウトはOkta Verifyプッシュを使用する場合は十分ではありません。コマンドラインから以下のコマンドを実行し、タイムアウトを60秒に増やします。

     config system global set remoteauthtimeout 60 end

  6. (オプション)標準ポート定義を変更します

    デフォルト(通常は1812)以外のUDPポートを定義するには、コマンドラインから以下のコマンドを実行します。

    注:これらのコマンドはRADIUS定義を表示します。MyRadiusSecretKeyは上記パート2のステップ3で定義したFortinet Fortigate (RADIUS) アプリの秘密鍵です。RADIUSポートを定義するコマンドがハイライトされています。

     config user radius edit "Okta MFA RADIUS" set server "10.20.251.19" set secret MyRadiusSecretKey set radius-port 1814 set auth-type pap next end 

ファイアウォール グループの定義

  1. [User & Device(ユーザーおよびデバイス)]>[User Groups(ユーザーグループ)]に進み、[Add(追加)]をクリックして以下のように新規グループの一致を定義します。
    注:[Groups(グループ)]フィールドは空白のまま残します。

  2. 以下の値を入力して新規ファイアウォール グループを作成します。

    フィールド
    名前一意かつ適切な名前(Okta MFA RADIUS Group)
    タイプファイアウォール
    シングルサインオン(RSSO)メンバー空白
    リモート グループ

    新規作成

    リモート サーバー:上記ステップ1で作成した名前を使用します(Okta MFA Radius)

    グループ名:任意(注:Fortigateファームウェア5.6.5以上では、グルー名は空白にします)

  3. [OK]をクリックしてこれらの設定を保存します。

IPv4ポリシーの定義

  1. [Policy & Objects(ポリシーおよびオブジェクト)]>[IPv4 Policy(IPv4ポリシー)]に進み、使用するSSL-VPNインターフェイスに関連したポリシーを見つけて編集します。以下のように[Source(ソース)]を編集します。

  2. [User Define an IPv4 Policy Select Entries(ユーザーがIPv4選択エントリを定義)]ダイアログに進みます。
  3. 前のステップで作成したグループを選択して追加します(Okta MFA Radiusグループ)

  4. [OK]をクリックして設定を適用し、保存します。

認証/ポータル マッピングの定義

  1. [VPN]>[SSL-VPN Settings(SSL-VPN設定)]に進み、[Authentication/Portal Mapping(認証/ポータル マッピング)]セクションに進みます。
  2. 以下のように新規マッピングを作成するか既存マッピングを編集し、前の手順で作成したファイアウォールグループにアクセス権を付与します。

  3. [User Define an IPv4 Policy Select Entries(ユーザーがIPv4選択エントリを定義)]ダイアログに進みます。
  4. [Apply(適用)]をクリックして設定を適用、保存します。

次のステップ

オプション設定の構成