Nastavení na straně 2Element

Je potřeba vytvořit novou chráněnou aplikaci (Nastavení-Chráněné aplikace-Přidat) typu Fortinet RADIUS. Po výběru autentizační proxy dojde k automatickému předvyplnění RADIUS portu který je možné změnit. Tento port (UDP) se otevře na vybrané autentizační proxy a musí být dostupný z FortiGatu.

Vygenerujte náhodný textový řetězec dlouhý 32 znaků a nastavte ho jako RADIUS sdílené tajemství.

Nastavení na straně FortiGate

Vytvořte nový RADIUS server v sekci User & Authentication. U pole Authentication method vyberte Specify a následně hodnotu PAP.

Jako adresu primárního RADIUS serveru vyplňte adresu 2Element autentizační proxy a jako Secret nastavte sdílené tajemství které jste vyplnili u chráněné aplikace v aplikaci 2Element. Správnost vyplněných údajů vyzkoušejte pomocí tlačítka Test Connectivity - u atributu Connection status by se měla zobrazit hodnota Successful.

Výchozí doba čekání na odpověď RADIUS serveru je 5 vteřin. Pro použití push notifikací je potřeba tuto dobu v CLI zvýšit, např. na 60 sekund:

Podpora skupin u lokálních 2Element uživatelů

V aplikaci 2Element vytvoříme novou skupinu uživatelů (Skupiny uživatelů-Přidat) a přiřadíme do ní uživatele.

Na FortiGatu vytvoříme novou skupinu typu Firewall a přidáme novou vzdálenou skupinu (Remote Groups-Add). Jako Remote Server vybereme 2Element RADIUS server. Atribut Groups nastavíme na Specify a vyplníme název skupiny tak jak je založen v aplikaci 2Element.

Podpora skupin u vzdálených 2Element uživatelů (např. Active Directory)

Na FortiGatu vytvoříme novou skupinu typu Firewall a přidáme novou vzdálenou skupinu (Remote Groups-Add). Jako Remote Server vybereme 2Element RADIUS server. Atribut Groups nastavíme na Specify a vyplníme název skupiny tak jak je vracen vzdáleným poskytovatelem autentizace. Active Directory vrací skupinu jako LDAP distinguished name, např. CN=Jan Vomacka,CN=admin,DC=VOMACKA,DC=CZ.