FortiGateの評価ガイド③ IPsecVPNの認証/RADIUS連携したパスワード認証

目的

FortiGateのリモートアクセスVPN(IPsec)について、以下の要件を満たすために、SingleIDを利用します。

  • RADIUSサーバに登録されたユーザでログインする。
  • 特定グループに属するユーザのみアクセスを許可する。
  • ログインの認証方式は、パスワード認証とする。

環境

グループの情報

グループ名グループの説明メンバー
リモートアクセスユーザ(ビルトイングループ)FortiGateのリモートアクセスVPNへログインできるユーザのグループuser1

RADIUSの情報

設定に必要な情報説明および情報取得の方法など
RADIUSサーバのホスト名 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「ホスト名」です。
RADIUSサーバのIPアドレスSingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「IPアドレス」です。
RADIUSサーバのポート番号 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「RADIUSポート番号」です。デフォルトUDP1812です。
RADIUSクライアントのIPアドレスFortiGate側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
RADIUSクライアントのシークレット任意の文字列を設定します。ここでは、「fortigate」とします。

VPN設定の情報

設定に必要な情報説明および情報取得の方法など
着信インターフェースFortiGateのWAN側のインターフェースです。環境により異なります。
VPNゲートウェイIPアドレスVPNクライアントが接続するIPアドレスです。環境により異なります。
ローカルインターフェース FortiGateのLAN側のインターフェースです。環境により異なります。
VPNクライアントIPアドレス範囲VPNクライアントに割り当てるIPアドレスの範囲です。環境により異なります。
VPN方式IPsec VPN
認証方式事前共有鍵
事前共有鍵任意の文字列を設定します。ここでは、「fortigate」とします。

設定方法

SingleIDの設定

SingleIDの管理者ポータルへログインします。

https://www.singleid.jp/product-login/

ユーザの作成

SingleID 管理者ポータル>ユーザ一覧画面へ移動します。

「登録」をクリックします。

ユーザ登録画面の「基本情報」を入力します。 作成するユーザは、環境/グループの情報を参照します。

「グループ」タブをクリックします。

参加するグループを選択し、「登録」をクリックします。参加するグループについては、環境/グループの情報を参照します。

RADIUSの設定

SingleID 管理者ポータル>認証>RADIUS画面へ移動します。「FortiGate」タブへ移動します。

「登録」をクリックします。

RADIUSクライアントに関する以下の項目を入力します。

項目
IPアドレス 環境/RADIUSの情報 の「RADIUSクライアントのIPアドレス」です。
シークレット 環境/RADIUSの情報 の「RADIUSクライアントのシークレット」です。

選択するサーバの番号により、RADIUSサーバのポート番号が異なります。
サーバが1の場合には、UDP1812です。
SingleID 管理者ポータル>認証>RADIUS>基本情報タブ画面の「RADIUSポート番号」にサーバの番号と通信ポート番号の対応が記載されています。

「VPNアクセスの認証」タブへ移動します。

許可グループの設定で「リモートアクセスユーザ」グループをダブルクリックし、許可へ移動させます。

「登録」をクリックします。

FortiGateの設定

FortiGateの管理GUIへログインします。

https://<FortiGateの管理IPアドレス>

RADIUSサーバの設定

FortiGate管理GUI> ユーザ&認証>RADIUSサーバへ移動します。「新規作成」ボタンをクリックします。

以下の項目を設定し、「OK」をクリックします。

項目設定値
名前SingleID_RADIUS
IP/名前環境/RADIUSの情報 の「RADIUSサーバのIPアドレス」です。
シークレット環境/RADIUSの情報 の「RADIUSクライアントのシークレット」です。

「接続をテスト」をクリックし、接続が成功しない場合には、以下をご確認ください。
・設定内容が間違いないこと
・FortiGateからSingleIDのRADIUSサーバのIPアドレスへ接続可能であること

SingleIDのRADIUSサーバでは、FortiGateのVPNアクセスや管理アクセスのみ認証可能となるように制限をかけているため、「ユーザクレデンシャルをテスト」ボタンをクリックし、正しいユーザ情報を入力しても成功となりませんが、問題ではありません。

ユーザグループの設定

FortiGate管理GUI>ユーザ&認証>ユーザグループへ移動します。「新規作成」ボタンをクリックします。

以下の項目を設定し、「OK」を クリックします。

項目設定値
名前SingleID
タイプファイアウォール
リモートグループリモートサーバ:SingleID_RADIUS グループ:すべて

VPNの設定

FortiGate管理GUI>VPN>IPsecウィザードへ移動します。「新規作成>管理者」ボタンをクリックします。

以下の項目を設定し、「次へ」を クリックします。

項目設定値
名前IPsecVPN
テンプレートタイプリモートアクセス
リモートデバイスタイプクライアントベース FortiClient

以下の項目を設定し、「次へ」を クリックします。

項目設定値
着信インターフェース環境/VPN設定の情報 の「着信インターフェース」です。
認証方式環境/VPN設定の情報 の「認証方式」です。
事前共有鍵環境/VPN設定の情報 の「事前共有鍵」です。
ユーザグループSingleID

以下の項目を設定し、「次へ」を クリックします。

項目設定値
ローカルインターフェース環境/VPN設定の情報 の「ローカルインターフェース」です。
ローカルアドレスLAN側ネットワークを指定(例:internal)
クライアントアドレス範囲環境/VPN設定の情報 の「VPNクライアントIPアドレス範囲」です。
サブネットマスク255.255.255.255

「次へ」を クリック します。

設定を確認し、「作成」をクリックします。

動作確認方法

FortiClientのインストール

以下、URLからFortiClientをダウンロードして、インストールします。

https://www.forticlient.com

FortiClientの設定

項目設定値
VPNIPsec VPN
接続名任意です。例:SingleID
リモートGW環境/VPN設定の情報 の「VPNゲートウェイIPアドレス」です。
認証方法環境/VPN設定の情報 の「認証方式」です。
認証(XAuth)ユーザ名入力

FortiGateへリモートアクセスVPN

SingleIDのユーザ(user1)でログインを試みます。

user1でGUIへログインできたことを確認します。

コメントを残す

メールアドレスが公開されることはありません。