Cómo Autenticar usuarios vía RADIUS en un FortiGate
Cómo
Autenticar usuarios vía RADIUS en un FortiGate
| FortiOS |
4.00 |
| Modelo |
FG-100A |
| Condición |
Tener Servidor Radius |
FortiGate se puede hacer autenticacíon hacia diferentes entidades tales como: Radius, TACACS+, LDAP, AD, etc.
En esta guía intentaremos explicar paso a paso, cómo autenticar usuarios vía RADIUS, de tal forma que podamos tener grupos de usuarios navegando a internet pero perfilados a través de sus credenciales en el RADIUS.
Para esto, es necesario contar con un servidor RADIUS el cual puede ser, libre como pagado. Aquí hay una lista de servidores RADIUS.
Para este Lab, usaremos un FreeRadius con MySQL y Administrado por DaloRADIUS, los cuales puedes instalar siguiendo esta guía que hemos elaborado anteriormente "Autenticación con Freeradius, MySQL y DaloRadius en Ubuntu 9.04"
Una vez instalado lo necesario para trabajar con el servidor radius, nos toca seguir los siguientes pasos para hacer la autenticación de usuarios:
Paso 1: Declaración del NAS
El NAS nos permite indicar al RADIUS qué Dispositivos dentro de la Red estarán habilitados para hacerle consultas de autenticación. En este caso, nos toca declarar como NAS al FortiGate, tal como se muestra en la figura 1:
http://ip.servidor.daloradius/daloradius
Seguidamente navegamos en: Management >> Nas >> New NAS y declaramos el Dispositivo NAS:
Figura 2:
Paso 2: Declaración de los usuarios en el Radius:
Para declarar los usuarios en el RADIUS, tendremos que navegar en: Management >> Users >> New User, donde configuramos el/los usuarios que requerimos. Para lo cual es importante determinar qué tipo de autenticación deseamos hacer (Username, MAC o PIN Code) Vea figura 3.
Figura 3:
En la Guía Como Autenticar Usuarios Wireless con Summit WM se explica mas a detalle la creación de usuarios y Grupos.
Paso 3: Declaración del REALM de autenticación en el FortiGate
Posteriormete entramos a la configuración del FortiGate, y navegamos dentro de: Users >> Remote >> Radius, tal como se ver en la figura 4. Donde configuramos los settings necesarios para poder autenticar hacia el servidor radius.
Figura 4:
En donde:
Name: Indica un nombre para el Realm de Autenticación
Primary Server Name/IP: Indica la IP del Servidor Radius
Primary Server Secret: La clave que escribimos al momento de declarar el NAS en el Radius (testing123 para este caso)
Secondary Server Name/IP: En caso de que tengamos mas de dos servidores Radius
Secondary Server Secret: La clave para el segundo servidor Radius
Authentication Scheme: Se puede seleccionar el método Default el cual incluye: PAP, MS-CHAP, CHAP en este mismo orden. En todo caso, tambien se puede seleccionar el Método específico que use el Servidor RADIUS.
NAS IP/Called Station ID: Escriba aquí la dirección IP. Si no se pone una IP, el sistema usará la IP de la Interface por la cual alcanza al servidor RADIUS.
Include in every User Group: Nos permite incluir al servidor radius en todos los Grupos de Usuarios
Paso 4: Pruebas de Autenticación vía CLI
A través de la CLI del Fortigate, podemos hacer pruebas de conexion y autenticación utilizando el comando:
diagnose test authserver radius , de la siguiente manera:
| Laboratorio # diagnose test
authserver radius Lab-radius pap user2 123456 authenticate 'user2' against 'pap' succeeded, server=primary assigned_rad_session_id=40697856 session_timeout=0 secs! |
Si vemos un mensaje de "succeeded" significa que nuestro Realm de autenticación está listo para operar y que las peticiones de nuestro NAS (FortiGate) están siendo validadas de forma correcta.
Paso 5: Configuracíón de grupos
En el Tab User >> User Group >> Create New haremos la configuración del Grupo, tal como se muestra en la siguiente figura 5:
Figura 5:
Name: Un nombre para identificar el objeto del Grupo
Type: El tipo de Autenticación que estamos haciendo, que en este caso seleccionaremos de tipo "Firewall" ya que dentro de este tipo están las autenticaciónes para usuarios con entidades remotas.
Available Users/Groups: Desde este listado seleccionamos y lo agregamos en el cuadro de Miembros
Members: Los Realms o grupos de usuarios que están habilitados para hacer peticiones de autenticación.
Paso 6: Configuración de Políticas en Firewall.
Para crear la política de Firewall entramos en: Firewall >> Policy >> Policy >> Create New . Vease figura 6.
Figura 6:
La política para este caso, va de la Interface "Internal" hacia la "Wan1" y aplica para el host CZ (Este fue declarado en Firewall >> Address). La Action debe de ser ACCEPT, y ademas debe estar seleccionado el NAT, debido a que es tráfico que va de la Red Privada Interna hacia el Internet.
Debe ademas seleccionarse la función de "Enable Identity Based Policy", la cual nos permitirá escoger un método de autenticación.
Una vez seleccionado el "Enable Identity Based Policy" nos aparecerá la Opción de Add la cual nos permitirá hacer las configuraciones de la autenticación como se muestra en la figura 7.
Figura 7:
En este caso, hacemos las selecciones tal como se muestra en este figura, luego click en OK, OK.
Paso 7: Pruebas de navegación.
Hechos todos estos pasos, ahora nos toca probar para verificar nuestra configuración, para lo que podemos abrir cualquier navegador de internet desde la PC que tiene como nombre "CZ" y nos aparecerá un cuadro de Autenticación, donde se nos solicitará nuestras credenciales . En la figura 8, se muestra el cuadro que por default aparece, aunque estos mensajes son configurables desde la administración del FortiGate.
Figura 8:
Escribimos en este cuadro las credenciales configuraradas para el usuario en el Radius. Para este ejemplo, usamos el usuario: user2 con password: 123456 y si todos los pasos anteriores estan correctos, ya nos permitirá navegar en el Internet.
Con este método de autenticación, podemos autenticar usuarios para Navegación, VPN en IPSec, VPN en SSL, etc.
Además, este método es soportado para los siguientes protocolos: TELNET , FTP , HTTP y HTTPS
Realacionados :
Autenticación con Freeradius, MySQL y DaloRadius en Ubuntu 9.04
Configuración de FortiGate como Proxy Explícito
Referencias:
http://kb.fortinet.com
http://docs.fortinet.com/
http://freeradius.org/
http://www.mysql.com/
http://daloradius.com/
