Active Directory yapısında FortiAuthenticator ile token kullanımı sağlanmaktadır. Size sıfırdan bir kurulumu anlatmaya çalıştım.
Öncelikle Talep edilen Group ve User bilgileri Active Directory üzerinden tanımlanır.
Tanımlanan Group ve User bilgileri Firewall üzerinde tanımlanır. Group içerisinde FAC seçeneği seçilir ve Group name AD üzerinde bulunan grup ismi manuel olarak yazılır.
Grup için ayrıcalıklı SSL tanımı sağlanmaktadır. SSLVPN Portal tanımı aşağıdaki gibi yapılır.
Firewall içerisinde yapılan tanımlar bu adımlarla bitiyor. Sonrasında Radıus sağlamak amacıyla Authenticator’da tanımlar yapılacaktır.
İlk adım Remote User içerisinde talep edilen user bilgisi AD tarafından manuel olarak çekilir. OTP olarak ne seçileceği önemlidir. Sebebi ise Rule içerisinde güncel bilgileri sekron ederken Doğrulama kısmında yazdığımız bilgileri istinaden veri çekmektedir. SMS olarak seçilen kullanıcı doğrulama içerisinde eğer kullanıcıda bu kısım boş ise Group içerisinde kullanıcı bilgileri çekmeyecektir
Burada Grup içerisinde bir kullanıcı eklenecekse users seçeneği eğer grup tanımı içerisinde seçecekseniz ise users bu group memberships seçeneğini seçebilirsiniz.
One-Time Password(Otp) Seçeneği aktif edilmelidir.
Tarafınızda bulunan tanım veya kullanım seçeneklerien göre SMS, Email veya Dual ( SMS-Email) seçeneği seçilebilir. Burada dikkat edilmesi gereken şey ise sms için bir sms gateway hizmetiniz bulunmalı ve bu api tanımlamalısınız. Veya SMTP server tanımı ile noreply@ uzantılı mailler gönderebilirsiniz.
Token çalışıyor mu kontrolü için Test Token sekmesinden SMS veya Email seçeneklerini girerek doğrulama sağlayabilirsiniz.
Mail için SMTP yapılandırması:
User tanımı sonrasında, tanımlı olacağı bir grup oluşturulacaktır.
Oluşturulan User sonrasında Group tanımlaması sağlanacaktır. Burada doğrulama koduna istinaden Rule tarafında bulunan SYNC eve. Süresi aralıklarıyla veri güncellenmesi sağlanacaktır.
Önemli bir detay ise; Radıus Attributes tarafında sekron olunacak grup tanımlanmalıdır. Grup özelinde sınırlama bulunduğu için kullanılacak grup bilgileri bu sekmede belirtilmelidir.
User ve Grup tanımlamalarından sonra bu tanımlar için yapılandırma gerekmektedir. Bu yapılandırma içerisinde hangi doğrulama yönetimini kullanacağınız ve grupları hangi aralıklarla sekron şekilde kontrol edeceğiniz belirtmemiz gerekmektedir.
Oluşturulan group ve user tanımı sonrasında Rule oluşturulacaktır. Burada doğrulama kodu seçimi önemlidir. Ek olarak Sync every süresi de önem arz etmektedir.
Yapılan tanımlar sonrası OTP gelecektir fakat yine de erişim tam olarak sağlanmış değil. Burada Radıus sağlıklı çalışması adına 2FA kuralının içerisinde bulunan grupların içerisinde bizim kullanacağımız grup dahil edilmelidir.
About the Author
