1. Эгида: ID
  2. Настройка ресурсов
  3. Настройка VPN
Настройка VPN
Настройка Check Point Настройка Cisco VPN Настройка Cisco ISE Настройка Cisco FTD Настройка Open VPN Настройка Open VPN Access Настройка VMware Horizon Настройка FortiGate Настройка Palo Alto Настройка WatchGuard Настройка Windows VPN с RRAS Настройка UserGate Настройка Ideco VPN Настройка Континент 4 Настройка Mikrotik VPN Настройка Huawei SSL VPN Настройка ViPNet Client 4U (Linux)

Настройка FortiGate

Сценарий взаимодействия FortiGate с Контур.ID

  1. Сотрудник открывает страницу входа в Fortinet FortiGate VPN.
  2. Указывает логин и пароль и нажимает «Войти».
  3. FortiGate по RADIUS-протоколу подключается к RADIUS-адаптеру Контур.ID.
  4. Адаптер проверяет учётные данные пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации.
  5. Если у сотрудника:
    • настроен второй фактор:
      1. в приложении Контур.Коннект приходит push-уведомление или OTP-код на мобильное устройство сотрудника.
      2. сотрудник подтверждает доступ с помощью нажатия кнопки на уведомлении на своем устройстве или вводом OTP-кода на странице Fortinet FortiGate VPN.

    • не настроен второй фактор для подтверждения доступа, ему будет предложено пройти регистрацию и произвести настройку.

Двухфакторная аутентификация для бизнеса Контур.ID

Попробовать бесплатно

Шаги, необходимые для настройки двухфакторной аутентификации в FortiGate:

Шаг 1

Создание конфигурации ресурса

  1. Зайдите в кабинет администратора.
  2. Перейдите в «Ресурсы» и выберите FortiGate.
  3. Добавьте новую конфигурацию.

  4. Заполните настройки:

    • Название конфигурации: укажите любое имя, например, Kontur.ID.

    • : укажите операционную систему, на которой будет развернут серверный компонент RADIUS.

    • Порт Radius Adapter: укажите порт адреса машины, на которой будет развернут серверный компонент RADIUS.
    • Shared Secret: скопируйте и сохраните секрет  он понадобится для настройки FortiGate.
    • Основной фактор: укажите Active Directory, OTP-код или Radius.
    • Второй фактор: выберите второй фактор  OTP-код или Push/звонок
    • Запрос второго фактора: укажите «У всех» или настройте ограничения по группам пользователей.
    • Саморегистрация пользователей: включите или отключите саморегистрацию.

    • Домен: укажите домен, в котором серверный компонент RADIUS будет проверять логин и пароль.

  5. Нажмите на кнопку «Сохранить и скачать».

В результате вы получите zip-архив, в котором содержится папка с настройками двухфакторной аутентификации.

Файлы конфигурации уже настроены и готовы к использованию для защиты на второй фактор.

Шаг 2

Настройка RADIUS-адаптера

Для правильной работы добавьте блок ResponseTransformConfiguration с настройками конфигурации в appsettings.json:

Пример добавления блока 
// Добавляем ResponseTransformConfiguration
"ResponseTransformConfiguration": {
  "UserGroupsTransformRule": {
    "Attribute": "Fortinet-Group-Name",
    "TransferMode": "Multiple",
    "GroupNameTemplate": "{GroupName}",
    // KnownGroups можно убрать, тогда будет впускать по всем группам
    "KnownGroups": [
      "Group1", //Имя группы, по которой впускает пользователей
      "Group2",
      "Group3"
    ]
  }
}

Шаг 3

Настройка RADIUS-сервера FortiGate VPN

  1. Зайдите в учётную запись FortiGate.
  2. Перейдите в консоль администратора «Admin console».
  3. В боковом меню выберите вкладку «User & Device».
  4. Выберите «Authentication → RADIUS Servers» для изменения настроек RADIUS-сервера или создайте новый сервер.
  5. Заполните настройки:

    • Name (произвольное): Kontur.ID_Radius.

    • Authentication method: PAP.

    • IP/Name: укажите IP сервера, на котором установлен RADIUS-адаптер.

    • Secret: скопируйте Shared Secret из панели управления Контур.ID или из файла appsettings.json.

Шаг 4

Настройка группы пользователей

  1. В разделе «User & Device» → «User» → «User Groups» создайте группу пользователей «SSL VPN Users».
  2. Выберите «Type Firewall» и добавьте «Kontur.ID_Radius» в «Remote Servers».
  3. В «GroupName» введите название группы из «Active Directory», которую нужно пропускать. Эта группа указана как значение в файле appsettings.json в блоке ResponseTransformConfiguration в KnownGroups.
Шаг 5

Настройка политики доступа

  1. В разделе «Policy & Objects» → «Policy» → «IPv4» создайте новую политику для доступа пользователей SSL VPN к внутренней сети или измените существующую.
  2. Заполните настройки:

    • Incoming interface: ssl.root (SSL VPN interface).

    • Source Users: SSL VPN Users.
Шаг 6

Увеличение таймаута ожидания ответа RADIUS-сервера

Для аутентификации через PUSH-уведомления увеличьте время ожидания ответа RADIUS-сервера. Для этого откройте консоль (CLI) и выполните команды:

# config system global
    set remoteauthtimeout 60
end


# config user radius
    edit Kontur.ID_Radius
        set timeout 60
end

Настройка двухфакторной аутентификации в FortiGate VPN завершена.

 

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель

Попробовать бесплатно

База знаний