Integrace s FortiGate SSL VPN (RADIUS)
Nastavení na straně 2Element
Je potřeba vytvořit novou chráněnou aplikaci (Nastavení-Chráněné aplikace-Přidat) typu Fortinet RADIUS. Po výběru autentizační proxy dojde k automatickému předvyplnění RADIUS portu který je možné změnit. Tento port (UDP) se otevře na vybrané autentizační proxy a musí být dostupný z FortiGatu.
Vygenerujte náhodný textový řetězec dlouhý 32 znaků a nastavte ho jako RADIUS sdílené tajemství.
Nastavení na straně FortiGate
Vytvořte nový RADIUS server v sekci User & Authentication. U pole Authentication method vyberte Specify a následně hodnotu PAP.
Jako adresu primárního RADIUS serveru vyplňte adresu 2Element autentizační proxy a jako Secret nastavte sdílené tajemství které jste vyplnili u chráněné aplikace v aplikaci 2Element. Správnost vyplněných údajů vyzkoušejte pomocí tlačítka Test Connectivity - u atributu Connection status by se měla zobrazit hodnota Successful.
Výchozí doba čekání na odpověď RADIUS serveru je 5 vteřin. Pro použití push notifikací je potřeba tuto dobu v CLI zvýšit, např. na 60 sekund:
config system global
set remoteauthtimeout 60
end
Podpora skupin u lokálních 2Element uživatelů
V aplikaci 2Element vytvoříme novou skupinu uživatelů (Skupiny uživatelů-Přidat) a přiřadíme do ní uživatele.
Na FortiGatu vytvoříme novou skupinu typu Firewall a přidáme novou vzdálenou skupinu (Remote Groups-Add). Jako Remote Server vybereme 2Element RADIUS server. Atribut Groups nastavíme na Specify a vyplníme název skupiny tak jak je založen v aplikaci 2Element.
Podpora skupin u vzdálených 2Element uživatelů (např. Active Directory)
Na FortiGatu vytvoříme novou skupinu typu Firewall a přidáme novou vzdálenou skupinu (Remote Groups-Add). Jako Remote Server vybereme 2Element RADIUS server. Atribut Groups nastavíme na Specify a vyplníme název skupiny tak jak je vracen vzdáleným poskytovatelem autentizace. Active Directory vrací skupinu jako LDAP distinguished name, např. CN=Jan Vomacka,CN=admin,DC=VOMACKA,DC=CZ.