Önceki makalelerimde FortiAuthenticator üzerinde LDAP ve Radius bağlantısını yapmayı ve nasıl User Group ve Remote User Sync Rules oluşturabiliriz diye anlatmıştım.
Buradan ulaşabilirsiniz. FortiAuthenticator LDAP ve Radius Bağlantısı , FortiAuthenticator User Group ve Remote User Sync Rules Oluşturma
Bu makalemde de tüm yaptığımız konfigurasyonlar sonrası Authenticator üzerinde oluşturduğum gruplar VPN yapabilsin, erişmek istedikleri networklere erişimleri olsun diye nasıl konfigurasyon yapmalıyız bunu anlatacağım.
Öncelikle oluşturduğumuz grupların VPN yapabilmesi için Authenticator üzerinde Policy oluşturmamız gerek. FortiAuthenticator da mevcut her Radius Authentication’ı için bir policy oluşturmamız gerekiyor.
Bunun için yine “Authentication” altında “Radius Service” Policies kısmına girip “Create New” diyoruz.
Resim-1
Oluşturacağımız Policy’e bir isim verip, bu policy’nin hangi radius clientlarının üzerinde aktif olmasını istediğimizi seçip, “Next” diyoruz. Ben eklediğim Firewall’u seçtim.
Resim-2
“Radius Attribute Criteria” kısmında, eğer enable edersek, Radius Authentication isteklerinin hepsinin belirli özellikler içermesini istediğimizi belirtiriz. Bu Attribute’ların hepsini Radius’un altında “Dictionary”’iden görebilirsiniz.
Resim-3
Ben bu seferlik aktif etmeyeceğim. “Next” diyeceğim.
Resim-4
Kimlik authentication’ını nasıl sağlamamızı istediğimizi belirtiyorum. Ben zaten gruplarımı da oluştururken SMS demiştim. Bundan kaynaklı “Authentication type”ı “Password/OTP authentication” olarak seçtim. Diğer seçenekler ise isim MAC adresi üzerinden kimlik authentication’ı sağlama yani belirli cihazlar için gerekli doğrulamayı sağlatıyoruz. Diğeri de sertifika üzerinden doğrulamak için kullanılıyor. İstediğim olan authentication type belirtip “Next” diyorum.
Resim-5
Username format nasıl istiyorsak belirttip, “Realms” kısmında bu policy’i ilişkilendireceğimiz alanları seçiyoruz. Burada bağlantısını yaptığım LDAP’ı seçip, bu policy’i uygulamak istediğim grupları “Filter” kısmını enable edip, yanında bulunan “Edit” simgesine tıklayıp,
Resim-6
Bu policy’nin aktif olmasını istediğim grubu seçip, “OK” ve sonrasında “Next” diyip, ilerliyorum.
Resim-7
Önümüze nasıl bir “Authentication Factor” uygulanmasını istediğimiz bir ekran çıkıyor. Burada seçeneklerimiz,
- Mandatory two-factor authentication: Her kullanıcı için zorunlu 2 faktörlü kimlik doğrulama
- Verify all configured authentication factor: Kullanıcı hesabında, yada oluşturduğumuz grupta aktif edildiyse 2 Factor Authentication kullandırır eğer yoksa tek faktörlü authentication’a izin verir.
- Password-only authentication: Kullanıcı kimliğini yalnız parola ile doğrular. Parola doğrulaması gruplarda ya da userlarda disable olduğu durumda hesap doğrulanmaz.
- Token-only authentication: Belirtilen token ile kullanıcı kimliğini doğrulama
Ben “Mandatory two-factor authentication” da bırakıp, “Next” diyorum. Bu seçenekte eğer 2FA oluşturulmamışsa kullanıcı erişim sağlayamaz.
Resim-8
Son kısımda bu yaptığımız policy’e göre Radius Server’ın nasıl cevap döneceğini gösteren tabloyu görüyoruz. “Update and exit” diye kuralımızı kaydedip çıkabiliriz.
Resim-9
Artık Radius Policy’imiz oluşmuş durumdadır. Bir sonraki makalemde Fortigate tarafını nasıl yapılandırırız ondan bahsedeceğim.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar