FortiGate & FortiAuthenticator -使用Radius将用户映射到VPN组
我需要你们的帮助,因为我没有发现我的设置有什么问题,而且它仍然没有用:
我针对FortiAuthenticator验证了我的Fortigate用户的身份。我希望使用Radius属性将一些用户映射到FG中的防火墙组。我使用了"Fortinet-Group-Name“和"fortinet-Access-profile”属性(设置为"test")。
这是我的Fortigate配置:(用于无属性用户的FAC-Group,针对属性设置为“test”的用户进行grp测试)
config user group
edit "SSO_Guest_Users"
next
edit "FAC-Group"
set member "FortiAuthenticator"
next
edit "grp-test"
set member "FortiAuthenticator"
config match
edit 1
set server-name "FortiAuthenticator"
set group-name "test"
next
end
next
end这是我的调试输出:
[1309] __fnbamd_rad_send-Sent radius req to server 'FortiAuthenticator': fd=16, IP=--------------(------------:1812) code=1 id=100 len=101
user="domain\user" using PAP
[1179] send_radius_challenge_rsp-Timer of rad 'FortiAuthenticator' is added
[1348] fnbamd_auth_handle_radius_result-Timer of rad 'FortiAuthenticator' is deleted
[1767] fnbamd_radius_auth_validate_pkt-RADIUS resp code 2
[319] extract_success_vsas-FORTINET attr, type 1, val test
[353] extract_success_vsas-FORTINET attr, type 6, val test
[1374] fnbamd_auth_handle_radius_result-->Result for radius svr 'FortiAuthenticator' ---------- is 0
[1304] fnbamd_radius_group_match-Skipping group matching
[1018] find_matched_usr_grps-Skipped group matching
[217] fnbamd_comm_send_result-Sending result 0 (nid 0) for req 1251334245, len=2014
[747] destroy_auth_session-delete session 1251334245
authenticate 'domain\user' against 'pap' succeeded, server=primary assigned_rad_session_id=1251334245 assigned_admin_profile=test s
ession_timeout=0 secs idle_timeout=0 secs!
Group membership(s) - test如您所见,FortiGate匹配并提取组名,但仍然跳过到新组的用户映射。我试着删除"FAC-Group“,但是后来我连起来都没有。
FG : 6.4.2 FAC : 6.1.2
任何帮助都是非常感谢的!
回答 1
Network Engineering用户
发布于 2021-08-27 01:04:06
我刚碰到这个。这里有一个链接到给我解释的那一页。(向下滚动到"Gotcha 1:设置组“)。
有关摘录:
如果你把这个小组设置成任何其他的东西,事情就行不通了。这似乎有点奇怪,例如,您可能希望限制对名为“VPN用户”的AD组的VPN访问。这是有道理的对吧?但是这个组实际上是针对供应商特定的AV对的检查,radius服务器可能返回,而与AD完全无关。请参阅此链接:https://kb.fortinet.com/kb/documentLink.do?externalID=FD40923 ...结果0表示身份验证成功,但随后您将看到组匹配被跳过。这是因为NPS服务器没有返回AV对Fortinet-Group-Name,这是用于匹配的。这里有更多的细节:https://kb.fortinet.com/kb/documentLink.do?externalID=FD36464,所以基本上您需要以其他方式控制访问。或者单独允许拨号访问。(广告用户管理器->查找用户->属性->拨号)或通过创建NPS策略允许访问AD组
我确实找到了一篇Fortinet文章,描述了如何使用这个组将Windows设置为RADIUS服务器。我不打算在这里粘贴整篇文章,而是将这里有一个链接粘贴到存档保存的版本中。
希望这能帮上忙!
https://networkengineering.stackexchange.com/questions/70613
复制相似问题
腾讯云开发者
