Fortinetゲートウェイを構成する
このタスクでは、FortinetのWebベースの管理コンソールを使用して、FortinetとRADIUSを統合します。
手順
開始する前に
- 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。
パート3では、RADIUSサーバー・プロファイル、RADIUSサーバー、ファイアウォール・グループ、IPv4ポリシーの定義と、認証/ポータルのマッピングの定義を行います。FortinetのWebベースの管理コンソールを使用してこれらを完了します。
RADIUSサーバー・プロファイルを定義する
- 十分な権限でVPNアプライアンスのFortinet管理者コンソールにサインインします。
- 以下に示すように、[ユーザーとデバイス] > [RADIUSサーバー]に移動し、[新規作成]をクリックして、新しいRADIUSサーバーを定義します。&
-
次の値を入力して新しいRADIUSサーバーを作成します。
フィールド 値 名前 一意で適切な名前(Okta MFA RADIUS) プライマリ・サーバーのIP/名前 Okta RADIUS Server AgentのIPまたは名前 プライマリ・サーバーのシークレット 上記のパート2、手順3で定義したFortinet Fortigate(RADIUS)アプリの秘密鍵 セカンダリ・サーバーのIP/名前 オプション セカンダリ・サーバーのシークレット オプション 認証方法 指定します Method (方式) PAP NAS IP 空白 すべてのユーザー・グループに含める チェック解除 注:FortiGateはデフォルトでポート1812を使用します。この設定を変更するには、以下のコマンドラインの手順に従います。
- [OK]をクリックして、これらの設定を保存します。
-
リモート認証タイムアウトを設定します。
Fortinetのデフォルトのタイムアウトは5秒です。ただし、Okta Verify Pushを使用する場合、このタイムアウトでは不十分です。コマンドラインから次のコマンドを実行して、タイムアウトを60秒に増やします。
config system global set remoteauthtimeout 60 end
-
[オプション]標準のポート定義を変更します。
デフォルト(通常は1812)以外のUDPポートを定義するには、コマンドラインから以下のコマンドを実行します。
注:これらのコマンドは完全なRADIUS定義を表示します。
MyRadiusSecretKey
は、上記のパート2、手順3で定義したFortinet Fortigate(RADIUS)アプリの秘密鍵です。RADIUSポートを定義するコマンドが強調表示されています。config user radius edit "Okta MFA RADIUS" set server "10.20.251.19" set secret MyRadiusSecretKey set radius-port 1814 set auth-type pap next end
ファイアウォール・グループを定義する
- 以下に示すように、[ユーザーとデバイス] > [ユーザー・グループ]に移動し、[追加]をクリックして新しいグループ・マッチを定義します。&
注:[グループ]フィールドは空白のままにします。 -
次の値を入力して新しいファイアウォール・グループを作成します。
フィールド 値 名前 一意で適切な名前(Okta MFA Radius Group) タイプ ファイアーウォール シングル・サインオン(RSSO)メンバー 空白 リモート・グループ 新規作成します。
[リモート・サーバー]:上記の手順1で作成した名前(Okta MFA Radius)を使用します。
[グループ名]:任意(注:Fortigateファームウェア5.6.5以降では、[グループ名]を空白のままにします)。
- [OK]をクリックして、これらの設定を保存します。
IPv4ポリシーを定義する
- [ポリシーとオブジェクト] > [IPv4ポリシー]に移動し、SSL-VPNインターフェイスに関連するポリシーを探して編集します。&[ソース]を以下のように編集します。
- [ユーザー定義のIPv4ポリシー選択エントリー]ダイアログに進みます。
-
前の手順で作成したグループ(Okta MFA Radius Group)を選択して追加します。
-
[OK]をクリックし、設定を適用して保存します。
認証/ポータルのマッピングを定義する
- [VPN] > [SSL-VPN設定]に移動し、[認証/ポータルのマッピング]セクションに移動します。
- 以下に示すように、新規マッピングを作成するか既存のマッピングを編集して、前の手順で作成したファイアウォール・グループへのアクセス権を付与します。
- [ユーザー定義のIPv4ポリシー選択エントリー]ダイアログに進みます。
-
[適用]をクリックし、設定を適用して保存します。