Active Directory’de tanımlı kullanıcıların FortiGate üzerinden SSL VPN bağlantısı sırasında FortiToken ile iki faktörlü kimlik doğrulama (2FA) yapabilmesini sağlamak için FortiAuthenticator’ın nasıl yapılandırılacağını adım adım anlatır. FortiAuthenticator, FortiGate cihazları için merkezi bir kimlik doğrulama sunucusu işlevi görerek FortiToken’lar üzerinden OTP (One-Time Password) doğrulaması yapar. FortiToken fiziksel bir cihaz veya mobil uygulama şeklinde tek kullanımlık parola (OTP) üretir Kullanıcı adı/şifre ile birlikte bu OTP kodunun da istenmesi, iki faktörlü kimlik doğrulama olarak kabul edilir. Bu yapı sayesinde VPN erişimi hem AD kimlik bilgileri hem de ek bir güvenlik katmanı (FortiToken) ile korunur. FortiAuthenticator, güçlü kimlik doğrulama yöntemleri sağlamak için FortiToken desteği sunar, aynı zamanda mevcut AD/LDAP altyapısı ile entegre olarak kullanıcı yönetimini kolaylaştırır.
- Authentication > Remote Auth. Servers > LDAP Açılan formda bir Name belirleyin, “Primary Server Name/IP” olarak AD sunucusunun IP’sini veya adını girin, gerekli portu (varsayılan 389) belirtin. LDAP’a bağlanacak kullanıcı adı/parola bilgilerini girin. Girdiğiniz bilgileri kontrol etmek için test veya arama (search) ikonunu kullanarak Base DN’i bulunmasını sağlayın
2. Authentication > User Management > Remote User Sync Rules > Create New bölümünden yeni bir eşitleme kuralı oluşturun. “Remote LDAP” seçeneğini seçerek Active Directory sunucusunun IP bilgisini belirtin. Ardından “Base Distinguished Name” (Base DN) değerini tanımlayın; bu işlem sonrasında LDAP filtresi otomatik olarak oluşturulacaktır.
3. Authentication > User Management > Remote User Sync Rules > Manual Sync AD kullanıcılarını otomatik olarak çekecektir. Eğer otomatik olarak gelmezse import edebilirsiniz.
4. Authentication > User Management > Realms > Create New Bir AD Realm tanımlaması yapılır. Bu ayar, kimlik doğrulama isteği geldiğinde FortiAuthenticator’ın öncelikle hangi Realm üzerinden isteği yöneteceğini belirlemesini sağlar. Ayrıca, hangi LDAP sunucusunun kullanılacağı ve hangi kullanıcıların bu Realm üzerinden doğrulanacağı burada tanımlanır.
5. Authentication > RADIUS Services > Clients bölümüne gidin ve Active Directory sunucusunun IP adresini tanımlayın. Burada tanımlanan client FortiAuthenticator’a kimlik doğrulama isteği gönderecek cihazları (NAS — Network Access Server) temsil eder. FortiAuthenticator, hangi cihazlardan kimlik doğrulama isteği alacağını bu tanımlamalar üzerinden belirler.
6. Authentication > User Management > User Group, FortiAuthenticator üzerinde birden fazla kullanıcıyı belirli bir kritere göre (LDAP, Local, RADIUS vb.) gruplamak ve bu grupla ilgili kimlik doğrulama, yetkilendirme ve RADIUS attribute’larını merkezi şekilde yönetmek için kullanılır.
Attribute Value ile FortiGate User Group İsmi Aynı mı Olmalı?
Evet, olmalı.
FortiAuthenticator’da tanımlanan RADIUS Attribute Value,
FortiGate’de oluşturduğun User Group adıyla birebir aynı olmalıdır.
Çünkü FortiGate, RADIUS yanıtındaki Attribute Value’ya bakar ve bu değeri kendi üzerindeki User Group isimleriyle eşleştirerek kullanıcının hangi grup kurallarına tabi olacağını belirler.
7. Authentication > Radius Services > Policies tanımlamanın temel amacı, RADIUS tabanlı kimlik doğrulama işlemlerini merkezi ve kontrollü bir şekilde yönetmektir.
Password/OTP authentication: Şifre ve tek kullanımlık şifre kombinasyonu
Filtre aktif edip oluşturduğumuz grubu ekliyoruz.
1)Nervability password and OTP: Hem şifre hem de tek kullanımlık şifre (OTP) gerektiren güçlü kimlik doğrulama
2)AI configured password and OTP factors: Yapay zeka destekli dinamik faktör seçimi
3)Password-only: Sadece şifre ile giriş
8. 5) User Management > Remote Users yolunu izleyin.
LDAP üzerinden çekilmiş olan kullanıcı listesinde ilgili kullanıcı seçilir.
OTP Authentication alanı: Enable olarak seçilir. FortiToken seçilerek donanımsal token atanır. Alternatif olarak FortiToken Cloud da seçilebilir.
Teslim yöntemi: Email, SMS, Mobile olarak işaretlenebilir.
Temporary Token kutucuğu isteğe bağlı olarak işaretlenebilir.
Allow RADIUS authentication: Eğer kullanıcıya RADIUS protokolüyle erişim yetkisi verilecekse bu kutu işaretlenmelidir.
Sync in HA Load Balancing mode: FAC yüksek erişilebilirlik (HA) modunda çalışıyorsa senkronizasyon için bu seçenek aktifleştirilir.
9. User&Authentication > Radius Servers Radius Server üzerinden fortiauthenticator entegrasyonu sağlıyoruz.
10. User&Authentication > User Groups Fortiauthenticator oluşturduğumuz group ile aynı group adı veriyoruz
11. VPN > SSL VPN Settings Fortiauthenticator oluşturduğumuz group Authentication/Portal Mapping ekliyoruz
12. Policy/Objects > Firewall Policy VPN kullanıcıları için policy yazın.
13. Daha sonra kullanıcı giriş bilgileri ile giriş sağlayabilir.
Yorum Gönder