Fortinetゲートウェイを構成する

このタスクでは、FortinetのWebベースの管理コンソールを使用して、FortinetとRADIUSを統合します。

手順

  1. RADIUSサーバー・プロファイルを定義する
  2. ファイアウォール・グループを定義する
  3. IPv4ポリシーを定義する
  4. 認証/ポータルのマッピングを定義する

開始する前に

  • 共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

パート3では、RADIUSサーバー・プロファイル、RADIUSサーバー、ファイアウォール・グループ、IPv4ポリシーの定義と、認証/ポータルのマッピングの定義を行います。FortinetのWebベースの管理コンソールを使用してこれらを完了します。

RADIUSサーバー・プロファイルを定義する

  1. 十分な権限でVPNアプライアンスのFortinet管理者コンソールにサインインします。
  2. 以下に示すように、[ユーザーとデバイス] > [RADIUSサーバー]に移動し、[新規作成]をクリックして、新しいRADIUSサーバーを定義します。&

  3. 次の値を入力して新しいRADIUSサーバーを作成します。

    フィールド
    名前一意で適切な名前(Okta MFA RADIUS)
    プライマリ・サーバーのIP/名前Okta RADIUS Server AgentのIPまたは名前
    プライマリ・サーバーのシークレット上記のパート2、手順3で定義したFortinet Fortigate(RADIUS)アプリの秘密鍵
    セカンダリ・サーバーのIP/名前オプション
    セカンダリ・サーバーのシークレットオプション
    認証方法指定します
    Method (方式)PAP
    NAS IP空白
    すべてのユーザー・グループに含めるチェック解除

    注:FortiGateはデフォルトでポート1812を使用します。この設定を変更するには、以下のコマンドラインの手順に従います。

  4. [OK]をクリックして、これらの設定を保存します。

  5. リモート認証タイムアウトを設定します。

    Fortinetのデフォルトのタイムアウトは5秒です。ただし、Okta Verify Pushを使用する場合、このタイムアウトでは不十分です。コマンドラインから次のコマンドを実行して、タイムアウトを60秒に増やします。 

     config system global set remoteauthtimeout 60 end

  6. [オプション]標準のポート定義を変更します。

    デフォルト(通常は1812)以外のUDPポートを定義するには、コマンドラインから以下のコマンドを実行します。

    注:これらのコマンドは完全なRADIUS定義を表示します。MyRadiusSecretKeyは、上記のパート2、手順3で定義したFortinet Fortigate(RADIUS)アプリの秘密鍵です。RADIUSポートを定義するコマンドが強調表示されています。

     config user radius edit "Okta MFA RADIUS" set server "10.20.251.19" set secret MyRadiusSecretKey set radius-port 1814 set auth-type pap next end

ファイアウォール・グループを定義する

  1. 以下に示すように、[ユーザーとデバイス] > [ユーザー・グループ]に移動し、[追加]をクリックして新しいグループ・マッチを定義します。&
    [グループ]フィールドは空白のままにします。

  2. 次の値を入力して新しいファイアウォール・グループを作成します。

    フィールド
    名前一意で適切な名前(Okta MFA Radius Group)
    タイプファイアーウォール
    シングル・サインオン(RSSO)メンバー空白
    リモート・グループ

    新規作成します。

    [リモート・サーバー]:上記の手順1で作成した名前(Okta MFA Radius)を使用します。

    [グループ名]:任意(注:Fortigateファームウェア5.6.5以降では、[グループ名]を空白のままにします)。

  3. [OK]をクリックして、これらの設定を保存します。

IPv4ポリシーを定義する

  1. [ポリシーとオブジェクト] > [IPv4ポリシー]に移動し、SSL-VPNインターフェイスに関連するポリシーを探して編集します。&[ソース]を以下のように編集します。

  2. [ユーザー定義のIPv4ポリシー選択エントリー]ダイアログに進みます。

  3. 前の手順で作成したグループ(Okta MFA Radius Group)を選択して追加します。

  4. [OK]をクリックし、設定を適用して保存します。

認証/ポータルのマッピングを定義する

  1. [VPN] > [SSL-VPN設定]に移動し、[認証/ポータルのマッピング]セクションに移動します。
  2. 以下に示すように、新規マッピングを作成するか既存のマッピングを編集して、前の手順で作成したファイアウォール・グループへのアクセス権を付与します。

  3. [ユーザー定義のIPv4ポリシー選択エントリー]ダイアログに進みます。

  4. [適用]をクリックし、設定を適用して保存します。