Cómo Autenticar usuarios vía RADIUS en un FortiGate Posted on April 4, 2016 by 2016 by Natanael Natanael Calderón FortiOS
4.00
Modelo
FG-100A
Condición
Tener Servidor Radius
A través de los Equipos FortiGate se puede hacer autenticacíon hacia diferentes entidades tales como: Radius, TACACS+, LDAP, AD, etc. En esta guía intentaremos explicar paso a paso, cómo autenticar usuarios vía RADIUS, de tal forma que podamos tener grupos de usuarios navegando a internet pero perfilados a través de sus credenciales en el RADIUS. Para esto, es necesario contar con un servidor RADIUS el cual puede ser, libre como pagado. Para este Lab, usaremos un FreeRadius con MySQL y Administrado por DaloRADIUS por DaloRADIUS,, los cuales puedes instalar siguiendo esta guía que hemos elaborado anteriormente “Autenticación con Freeradius, MySQL y DaloRadius en Ubuntu 9.04“ 9.04“ Una vez instalado lo necesario para trabajar con el servidor radius, nos toca seguir los siguientes pasos para hacer la autenticación de usuarios: Paso 1: Declaración del NAS
El NAS nos permite indicar al RADIUS qué Dispositivos dentro de la Red estarán habilitados para hacerle consultas de autenticación. En este caso, nos toca declarar como NAS al FortiGate, tal como se muestra en la figura fi gura 1:
http://ip.servidor.daloradius/daloradius Seguidamente navegamos en: Management >> Nas >> New NAS y declaramos el Dispositivo NAS:
F igura 2:
Paso 2: Declaración de los usuarios en el Radius:
Para declarar los usuarios en el RADIUS, tendremos que navegar en: Management >> Users >> New User, donde configuramos el/los usuarios que requerimos. Para lo cual es importante determinar qué tipo de autenticación deseamos hacer (Username, MAC o PIN Code) Vea figura 3.
F igura 3:
En la Guía Como Autenticar Usuarios Wireless con Summit WM se explica mas a detalle la creación de usuarios y Grupos. Paso 3: Declaración del REALM de autenticación en el FortiGate
Posteriormete entramos a la configuración del FortiGate, y navegamos dentro de: Users >> Remote >> Radius, tal como se ver en la figura 4. Donde configuramos los settings necesarios para poder autenticar hacia el servidor radius.
F igura 4:
En donde: Name: Indica un nombre para el Realm de Autenticación Primary Server Name/IP : Indica la IP del Servidor Radius Primary Server Secret : La clave que escribimos al momento de declarar el NAS en el Radius (testing123 para este caso) Secondary Server Name/IP : En caso de que tengamos mas de dos servidores Radius
Secondary Server Secret : La clave para el segundo servidor Radius Authentication Scheme : Se puede seleccionar el método Default el cual incluye: PAP, MS-CHAP, CHAP en este mismo orden. En todo caso, tambien se puede seleccionar el Método específico que use el Servidor RADIUS. NAS IP/Called Station ID : Escriba aquí la dirección IP. Si no se pone una IP, el sistema usará la IP de la Interface por la cual alcanza al servidor RADIUS. Include in every User Group : Nos permite incluir al servidor radius en todos los Grupos de Usuarios Paso 4: Pruebas de Autenticación vía CLI
A través de la CLI del Fortigate, podemos hacer pruebas de conexion y autenticación utilizando el comando: diagnose test authserver radius , de la siguiente manera:
Laboratorio # diagnose test authserver radius Lab-radius pap user2 123456authenticate ‘user2′ a gainst ‘pap’ succeeded, server=primary assigned_rad_session_id=40697856 session_timeout=0 secs! Si vemos un mensaje de “succeeded” significa que nuestro Realm de autenticación está listo para operar y que las peticiones de nuestro NAS (FortiGate) están siendo validadas de forma correcta. Paso 5: Configuraciónde grupos
En el Tab User >> User Group >> Create New haremos la configuración del Grupo, tal como se muestra en la siguiente figura 5:
F igura 5:
Name: Un nombre para identificar el objeto del Grupo Type: El tipo de Autenticación que estamos haciendo, que en este caso seleccionaremos de tipo “Firewall” ya que dentro de este tipo están las autenticaciónes para usuarios con entidades remotas. Available Users/Groups : Desde este listado seleccionamos y lo agregamos en el cuadro de Miembros Members: Los Realms o grupos de usuarios que están habilitados para hacer peticiones de autenticación. Paso 6: Configuración de Políticas en Firewall.
Para crear la política de Firewall entramos en: Firewall >> Policy >> Policy>> Create New . Vease figura 6.
F igura 6:
La política para este caso, va de la Interface “Internal ” hacia la “Wan1” y aplica para el host CZ (Este fue declarado en Firewall >> Address ). La Action debe de ser ACCEPT, y ademas debe estar seleccionado el NAT, debido a que es tráfico que va de la Red Privada Interna hacia el Internet. Debe ademas seleccionarse la función de “Enable Identity Based Policy “, la cual nos permitirá escoger un método de autenticación.
Una vez seleccionado el “Enable Identity Based Policy ” nos aparecerá la Opción de Add la cual nos permitirá hacer las configuraciones de la autenticación como se muestra en la figura 7.
F igura 7 :
En este caso, hacemos las selecciones tal como se muestra en este figura, luego click en OK , OK .
Paso 7: Pruebas de navegación.
Hechos todos estos pasos, ahora nos toca probar para verificar nuestra configuración, para lo que podemos abrir cualquier navegador de internet desde la PC que tiene como nombre “CZ” y nos aparecerá un cuadro de Autenticación, donde se nos solicitará nuestras credenciales . En la figura 8, se muestra el cuadro que por default aparece, aunque estos mensajes son configurables desde la administración del FortiGate.
F igura 8:
Escribimos en este cuadro las credenciales configuraradas para el usuario en el Radius. Para este ejemplo, usamos el usuario: user2 con password: 123456 y si todos los pasos anteriores estan correctos, ya nos permitirá navegar en el Internet.
Con este método de autenticación, podemos autenticar usuarios para Navegación, VPN en IPSec, VPN en SSL, etc. Además, este método es soportado para los siguientes protocolos: TELNET , FTP , HTTP y HTTPS
