PrivacyIdea OTP Fortigate Yapılandırması

Bir önceki yazımda PrivacyIdea nasıl kurulacağından bahsetmiştim. Bu yazımda ise PrivacyIdea’yı nasıl konfigüre edeceğimize bakalım:

Aşağıdaki gibi bir topolojimiz var:

PrivacyIdea web server üzerinden login olup Config > Users > NewLdapResolver sayfasını açın. Burada kendi AD server’ınıza göre gerekli bilgileri doldurmanız gerekiyor. Aşağıdaki resimde; ip, domain adı gibi bilgileri sansürledim.

Sayfanın en altında “Test Ldap Resolver” butonuyla bağlantının doğruluğunu test ettikten sonra kaydedin.

“Realms” sayfasını açın ve aşağıdaki gibi bir realm ekleyin:

Artık privacyidea sunucusunda /etc/freeradius/3.0 dizinine gidin ve clients.conf dosyasını açın. Burada “localhost”‘un üstüne aşağıdaki gibi(Bende OOB olarak tanımlı olan alan) fortigate ip adresinizin ve secret keyinizin bulunduğu konfiği ekleyin. Yine buradaki ip adresi ve secret key alanı sansürlü.

Kaydettikten sonra servisi restart edin:

systemctl restart freeradius.service

Şimdiki aşama yazılımın fortigate ile çalışması için benim kurarken en çok takıldığım yer. Config > Policy menüsü üzerinden yeni policy oluşturun ve aşağıdaki gibi konfigüre edin.

Action tabına gelip “miscellaneous” sekmesinde “challenge_response” değerini totp, “otppin” değerini ise userstore olarak seçin.

otptestuser adında domain sunucumda bir user oluşturdum. Şimdi bu user ile privacyidea sunucusunda web üzerinden bağlanıp token oluşturalım:

“Enroll Token” butonuna bastıktan sonra bir QR kod karşılayacak. Bu QR kodu authenticator uygulamalarına taratmanız gerekiyor.

Test userımızda hazır olduğuna göre artık fortigate üzerinden işlemleri yapmaya başlayabiliriz.
User & Authentication > Radius Servers menüsünü takip edip yeni bir radius server oluşturalım.

Öncelikle Test Connectivity butonuna tıklayıp bağlantı sorunu olup olmadığına bakın. /etc/freeradius/3.0/clients.conf dosyasını düzgün yapılandıramadıysanız bu tarafta hata alacaksınız.
Ardından “Test User Credentials” butonuna tıklayın. Burada credential bilgileri aşağıdaki gibi olmalı:
test user account name: otptestuser
test user account pass: Password1
Authenticator otp: 361 777
Username kısmına otptestuser, password kısmına ise “Password1361777” yazmalısınız. Yani şifre ardına otp gelmeli. Eğer burada hata almadıysanız her şey yolunda demektir.

Fortigate üzerinde User’ı eklerken type’ını radius olarak seçmeyi, VPN > SSL-VPN Settings > Authentication Mapping portalına eklemeyi ve tabiki de ilgili user için policy oluşturmayı unutmayın.

Ek olarak login işlemleriyle ilgili logları “/var/log/privacyidea/privacyidea.log” dosyasında görebilirsiniz.

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir