Anda di halaman 1dari 7

Autenticacin de usuarios va RADIUS en un FortiGate

FortiOS Modelo Condicin

5.00 FG-300C Tener Servidor Radius

Se explicar cmo autenticar usuarios va RADIUS, de tal forma que podamos tener grupos de usuarios navegando en internet, pero perfilados a travs de sus credenciales en el RADIUS. Para esto, es necesario contar con un servidor RADIUS el cual puede ser, libre como pagado. Para Hotel Bellavista, usaremos un FreeRadius con MySQL y con la interface GUI de DaloRADIUS, los cuales puedes instalar siguiendo Una vez instalado lo necesario para trabajar con el servidor radius, nos toca seguir los siguientes pasos para hacer la autenticacin de usuarios: Paso 1: Declaracin del NAS El NAS nos permite indicar al RADIUS qu Dispositivos dentro de la Red estarn habilitados para hacerle consultas de autenticacin. En este caso, nos toca declarar como NAS al FortiGate, tal como se muestra.

Seguidamente navegamos en: Management >> Nas >> New NAS y declaramos el Dispositivo NAS.

Paso 2: Declaracin de los usuarios en el Radius:

Para declarar los usuarios en el RADIUS, tendremos que navegar en: Management >> Users >> New User, donde configuramos los usuarios que requerimos. Para lo cual es importante determinar qu tipo de autenticacin deseamos hacer (Username, MAC o PIN Code)

Paso 3: Declaracin del REALM de autenticacin en el FortiGate Posteriormete entramos a la configuracin del FortiGate, y navegamos dentro de: Users >> Remote >> Radius, tal como se ver en la figura 4. Donde configuramos los settings necesarios para poder autenticar hacia el servidor Radius.

En donde: Name: Indica un nombre para el Realm de Autenticacin Primary Server Name/IP: Indica la IP del Servidor Radius Primary Server Secret: La clave que escribimos al momento de declarar el NAS en el Radius (testing123 para este caso) Secondary Server Name/IP: En caso de que tengamos mas de dos servidores Radius Secondary Server Secret: La clave para el segundo servidor Radius Authentication Scheme: Se puede seleccionar el mtodo Default el cual incluye: PAP, MS-CHAP, CHAP en este mismo orden. En todo caso, tambien se puede seleccionar el Mtodo especfico que use el Servidor RADIUS. NAS IP/Called Station ID: Escriba aqu la direccin IP. Si no se pone una IP, el sistema usar la IP de la Interface por la cual alcanza al servidor RADIUS. Include in every User Group: Nos permite incluir al servidor radius en todos los Grupos de Usuarios

Paso 4: Pruebas de Autenticacin va CLI A travs de la CLI del Fortigate, podemos hacer pruebas de conexin y autenticacin utilizando el comando: diagnose test authserver radius, de la siguiente manera:

Paso 5: Configuracin de grupos En el Tab User >> User Group >> Create New haremos la configuracin del Grupo, tal como se muestra.

Name: Un nombre para identificar el objeto del Grupo Type: El tipo de Autenticacin que estamos haciendo, que en este caso seleccionaremos de tipo "Firewall" ya que dentro de este tipo estn las autenticacines para usuarios con entidades remotas. Available Users/Groups: Desde este listado seleccionamos y lo agregamos en el cuadro de Miembros Members: Los Realms o grupos de usuarios que estn habilitados para hacer peticiones de autenticacin.

Paso 6: Configuracin de Polticas en Firewall. Para crear la poltica de Firewall entramos en: Firewall >> Policy >> Policy >> Create New .

La poltica para este caso, va de la Interface "Internal" hacia la "Wan1" y aplica para el host CZ (Este fue declarado en Firewall >> Address). La Action debe de ser ACCEPT, y adems debe estar seleccionado el NAT, debido a que es trfico que va de la Red Privada Interna hacia el Internet. Debe adems seleccionarse la funcin de "Enable Identity Based Policy", la cual nos permitir escoger un mtodo de autenticacin.

Una vez seleccionado el "Enable Identity Based Policy" nos aparecer la Opcin de Add la cual nos permitir hacer las configuraciones de la autenticacin como se muestra a continuacin:

Paso 7: Pruebas de navegacin. Hechos todos estos pasos, ahora nos toca probar para verificar nuestra configuracin, para lo que podemos abrir cualquier navegador de internet desde la PC que tiene como nombre "CZ" y nos aparecer un cuadro de Autenticacin, donde se nos solicitar nuestras credenciales . Se muestra el cuadro que por default aparece, aunque estos mensajes son configurables desde la administracin del FortiGate.

Escribimos en este cuadro las credenciales configuraradas para el usuario en el Radius. Para este ejemplo, usamos el usuario: user2 con password: 123456 y si todos los pasos anteriores estan correctos, ya nos permitir navegar en el Internet.