Fortinetゲートウェイを構成する

このタスクでは、FortinetのWebベースのAdmin Consoleを使用して、FortinetとRADIUSを統合します。

手順

  1. RADIUSサーバープロファイルを定義する
  2. ファイアウォールグループを定義する
  3. IPv4ポリシーを定義する
  4. 認証/ポータルのマッピングを定義する

開始する前に

共通のUDPポートと秘密鍵の値が利用可能であることを確認します。

パート3では、RADIUSサーバープロファイル、RADIUSサーバー、ファイアウォールグループ、IPv4ポリシーの定義と、認証/ポータルのマッピングの定義を行います。FortinetのWebベースのAdmin Consoleを使用してこれらを完了します。

RADIUSサーバープロファイルを定義する

  1. 十分な権限でVPNアプライアンスのFortinet Admin Consoleにサインインします。
  2. ユーザーおよびデバイス(User & Device) > RADIUSサーバー(RADIUS Servers)に進み、新規作成(Create New)をクリックして、新規RADIUSサーバーを次のように定義します。

  3. 次の値を入力して新しいRADIUSサーバーを作成します。

    フィールド
    名前 一意で適切な名前(Okta MFA RADIUS)
    プライマリサーバーのIP/名前(Primary Server IP / Name) Okta RADIUS ServerエージェントのIPまたは名前
    プライマリサーバーのシークレット(Primary Server Secret) 上記のパート2、手順3で定義したFortinet Fortigate(RADIUS)アプリの秘密鍵
    セカンダリサーバーのIP/名前(Secondary Server IP / Name) 任意
    セカンダリサーバーのシークレット(Secondary Server Secret) 任意
    認証方法(Authentication Method) 指定します
    方式(Method) PAP
    [NAS IP] 空白
    すべてのユーザーグループに含める(Include in every User Group) チェック解除

    注:FortiGateはデフォルトでポート1812を使用します。この設定を変更するには、以下のコマンドラインの手順に従います。

  4. OKをクリックして、これらの設定を保存します。

  5. リモート認証タイムアウトを設定します。

    Fortinetのデフォルトのタイムアウトは5秒です。ただし、Okta Verify Pushを使用する場合、このタイムアウトでは不十分です。コマンドラインから次のコマンドを実行して、タイムアウトを60秒に増やします。 
    config system global
    set remoteauthtimeout 60
end

  6. (任意)標準ポート定義を変更します

    デフォルト(通常は1812)以外のUDPポートを定義するには、コマンドラインから以下のコマンドを実行します。

    注:これらのコマンドは完全なRADIUS定義を表示します。MyRadiusSecretKeyは、上記のパート2、手順3で定義したFortinet Fortigate(RADIUS)アプリの秘密鍵です。RADIUSポートを定義するコマンドが強調表示されています。

    config user radius
   edit "Okta MFA RADIUS"
       set server "10.20.251.19"
	    set secret MyRadiusSecretKey
      set radius-port 1814
      set auth-type pap
   next
end

ファイアウォールグループを定義する

  1. ユーザーおよびデバイス(User & Device) > ユーザーグループ(User Groups)に進み、追加(Add)をクリックして新規グループの一致を次のように定義します。注:グループ(Groups)フィールドは空白のまま残します。

  2. 次の値を入力して新しいファイアウォールグループを作成します。

    フィールド
    名前(Name) 一意で適切な名前(Okta MFA Radius Group)
    タイプ(Type) ファイアーウォール
    Single Sign-On (RSSO) Members(シングルサインオン(RSSO)メンバー) 空白
    リモートグループ(Remote Groups)

    新規作成します。

    リモートサーバー([Remote Server)]:上記の手順1で作成した名前(Okta MFA Radius)を使用します。

    グループ名([Group Name)]:任意(注:Fortigateファームウェア5.6.5以降では、[Group Name(グループ名)]を空白のままにします)。
  3. OKをクリックして、これらの設定を保存します。

IPv4ポリシーを定義する

  1. ポリシーおよびオブジェクト(Policy & Objects) > IPv4ポリシー(IPv4 Policy)に進み、使用するSSL-VPNインターフェイスに関連したポリシーを見つけて編集します。ソース(Source)を次のように編集します。
  2. ユーザー定義のIPv4ポリシー選択エントリ(User Define an IPv4 Policy Select Entries)ダイアログに進みます。

  3. 前の手順で作成したグループ(Okta MFA Radius Group)を選択して追加します。

  4. OKをクリックし、設定を適用して保存します。

認証/ポータルのマッピングを定義する

  1. VPN > SSL-VPN設定(SSL-VPN Settings)に進み、認証/ポータルのマッピング(Authentication/Portal Mapping)セクションに進みます。
  2. 新規マッピングを作成するか既存のマッピングを次のように編集し、前の手順で作成したファイアウォールグループへのアクセス権を付与します。
  3. ユーザー定義のIPv4ポリシー選択エントリ(User Define an IPv4 Policy Select Entries)ダイアログに進みます。

  4. 適用(Apply)をクリックして設定を適用、保存します。

次の手順

任意の設定を構成する