- Технологический стек
- Установка и настройка MULTIDIRECTORY
- Настройка Kerberos в WEB-интерфейсе MULTIDIRECTORY
- Настройка DNS в WEB-интерфейсе MULTIDIRECTORY
- Настройка доверия в MULTIDIRECTORY
- Групповые политики
- Подключение MULTIFACTOR SelfService Portal к MULTIDIRECTORY
- Управление пользователями, группами и ресурсами
- Подключение к MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Пассворк
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в Authelia
- LDAP-аутентификация в BearPass
- LDAP-аутентификация в DeepMail
- LDAP-аутентификация в ELMA365
- LDAP-аутентификация в FreePBX
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в Grafana
- LDAP-аутентификация в IVA MCU
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Jira
- LDAP-аутентификация в Keycloak
- LDAP-аутентификация в Kerio Connect
- LDAP-аутентификация в Kibana
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в S3 MinIO
- LDAP-аутентификация в Nexus
- LDAP-аутентификация на Nextсloud
- LDAP-аутентификация на OpenVPN
- LDAP-аутентификация на ownCloud
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Rancher
- LDAP-аутентификация в RuPost
- LDAP-аутентификация в Seafile
- LDAP-аутентификация в Snipe-IT
- LDAP-аутентификация на SSH клиенте
- LDAP-аутентификация в TrueConf
- LDAP-аутентификация на UserGate клиенте
- LDAP-аутентификация в Vault
- LDAP-аутентификация в Zabbix
- LDAP-аутентификация в Zimbra
Инструкция по настройке двухфакторной аутентификации в FortiGate при помощи MULTIFACTOR Radius Adapter
Краткое описание
В статье описывается настройка FortiGate совместно с MULTIFACTOR Radius Adapter для поставщика учетных записей MULTIDIRECTORY.
Требования к установке
- Установленная служба каталогов MULTIDIRECTORY.
- Предустановленный Multifactor Radius Adapter.
Создание технической учетной записи в MULTIDIRECTORY
Для создания связи между MULTIDIRECTORY и MULTIFACTOR Radius Adapter необходимо создать сервисную учетную запись:
Обратите внимание!
Для корректной работы связи между
MULTIDIRECTORYиMULTIFACTOR Radius Adapterнеобходимо наличие атрибута«displayName». Оно заполняется автоматически при создании пользователя, когда будут заполнены поля «Имя» и «Фамилия».
Настройка MULTIFACTOR Radius Adapter
С более подробной установкой и настройкой MULTIFACTOR Radius Adapter вы можете ознакомиться на официальном сайте компании МУЛЬТИФАКТОР.
Пример заполнения файла /opt/multifactor/radius/multifactor-radius-adapter.dll.config.
<!-- Адрес и порт (UDP) по которому адаптер будет принимать запросы на аутентификацию от клиентов --> <add key="adapter-server-endpoint" value="0.0.0.0:1812"/> <!-- Адрес API MULTIFACTOR --> <add key="multifactor-api-url" value="https://api.multifactor.ru"/> <!-- Доступ к API MULTIFACTOR через HTTP прокси (опционально) --> <!-- <add key="multifactor-api-proxy" value="http://login:password@proxy:3128"/> --> <!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' --> <add key="logging-level" value="Debug"/>
Пример заполнения файла /opt/multifactor/radius/clients/<client_name>.config.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<configSections>
<section name="RadiusReply" type="MultiFactor.Radius.Adapter.RadiusReplyAttributesSection, multifactor-radius-adapter" />
</configSections>
<appSettings>
<!-- Fortigate ip -->
<add key="radius-client-ip" value="ip"/>
<!-- shared secret between this service and fortigate -->
<add key="radius-shared-secret" value="123"/>
<!--<add key="radius-client-nas-identifier" value="windows"/> -->
<!--One of: ActiveDirectory, ADLDS, Radius, None-->
<add key="first-factor-authentication-source" value="ActiveDirectory"/>
<!--ActiveDirectory authentication settings: for example domain.local on host 10.0.0.4 -->
<add key="active-directory-domain" value="ldap://your_domain.ru/DC=your_domain,DC=ru"/>
<add key="service-account-user" value="user@your_domain.ru"/>
<add key="service-account-password" value="your_password"/>
<!--ActiveDirectory access group (optional);-->
<!--add key="active-directory-group" value="VPN Users"/-->
<!--ActiveDirectory 2FA group (optional);-->
<!--add key="active-directory-2fa-group" value="2FA Users"/-->
<!-- get it from multifactor management panel -->
<add key="multifactor-nas-identifier" value="your nas-identifier"/>
<!-- get it from multifactor management panel -->
<add key="multifactor-shared-secret" value="your shared-secret"/>
</appSettings>
<!--RadiusReply>
<Attributes>
<add name="Fortinet-Group-Name" from="memberOf"/>
</Attributes>
</RadiusReply-->
</configuration>
Настройка FortiGate
Для создания соединения между FortiGate и MULTIFACTOR Radius Adapter в интерфейсе FortiGate перейдите в меню «User & Devices» > «RADIUS Server» и нажмите кнопку «Create New», как показано на скриншоте ниже.
После создания нового Radius-сервера в интерфейсе FortiGate откроется окно настройки, в котором необходимо заполнить поля:
Name– имя сервера (можете указать свое название).Authentication method– выбрать метод аутентификации «Specify», а далее «PAP».IP/Name– адрес компонента MULTIFACTOR Radius Adapter.Secret– укажите секрет, который вы указали ранее в настройке Radius-адаптера.
Для пользователей, которые будут использовать Radius-аутентификацию, создайте группу. Перейдите в меню «User & Device» -> «User Groups» и создайте новую группу.
- Укажите название группы.
- Добавьте ранее созданный Radius-сервер.
