【Fortigate】SSL-VPNリモート接続(トンネルモード、ActiveDirectory連携、LDAP連携)FortiOS6.2.4

Fortigateには、SSL-VPN機能が備わっており、比較的簡単にリモート環境からの接続が可能です。

このブログは以下の記事を前提にしています。Fortigateのローカルユーザではなく、LDAPサーバ(ActiveDirectory)上のユーザでユーザ認証します。SSLポータル設定は、以下の記事のものを使用します。

  >> 参考記事 :  SSL-VPNリモート接続(トンネルモード、ローカルユーザ)FortiOS6.2.4
  • ActiveDirecotoryとRDPの接続先は同一のサーバです。
スポンサーリンク

ActiveDirectoryの準備

ドメイン: hirotanoblog.com としてActiveDirectoryを構築し、ユーザ名ldap-hirotano を予め設定しています。

スポンサーリンク

LDAPサーバの登録

FortigateにLDAPサーバ(ActiveDirectoryサーバ)を登録します。ユーザ認証LDAPサーバ新規作成 へと移動します。

  • 名前:任意の名前をつけます。ここでは、ActiveDirectoryとします。
  • サーバIP/名前:LDAPサーバの接続先を設定します。今回はIPアドレスで10.1.0.10とします。
  • コモンネーム識別子:Windows2000以前のWindowsログオン名として、samAccountName と設定します。
  • 識別名:ActiveDirecotoryのドメイン名はhirotanoblog.comのため、cn=users,dc=hirotanoblog,dc=com と入力します。
  • バインドタイプ:レビュラーに変更します。
  • ユーザ名:ActiveDirectoryへアクセスできるユーザIDを指定します。ここではAdministtratorを設定します。
  • パスワード;上記ユーザのパスワードを設定します。
  • 接続テスト:クリックして、接続ステータスが成功になることを確認します。

ブラウズをクリックすると、画面右側が以下のような出力になることを確認してください。

ユーザクレデンシャルをテストをクリックすると、ユーザ名とパスワードの入力画面が出力されます。今回使用するユーザ名:ldap-hirotanoの認証を確認します。

テストをクリックして、クレデンシャルが成功することを確認してください。

スポンサーリンク

SSL-VPN設定

以下の記事のものを流用します。

ファイアウォール ポリシー設定

ポリシー&オブジェクトへ移動し、SSL-VPN用のポリシーを設定します。内部にあるRDP接続先の端末(10.0.1.10)をオブジェクトとして、事前に設定しています。

では、ポリシーを設定します。

  • 着信インタフェース:SSL-VPN用のインタフェースを選択します。
  • 発信インターフェース:内部向けのインタフェースを指定します。
  • 送信元:SSL-VPNで使用するプールアドレスとユーザの両方を登録します。をクリックすルと、アドレスとユーザを設定できます。ユーザを今回のLDAPユーザであるldap-hirotanoを指定します。設定の仕方は、前回記事に記載しているので割愛します。
  • 宛先:内部端末として登録したInternal-RDPを選択します。
  • サービス:今回はテストですので、ALLとします。
  • NAT:無効化します。
  • 許可トラフィックをログすべてのセッション を取得するようにします。

端末側の設定

端末側のforticlientの設定は、以下の記事と同じです。

設定したSSL-VPNという名称のプロファイルを選択し、ユーザ名とパスワードを入力し、Connectをクリックします。

しばらくすると、以下の画面のようにSSL-VPNが接続されたことが確認できます。

10.0.1.10へRDP接続してみます。

【ログ&レポート】-【転送トラフィック】で ユーザ名 ldap-hirotanoが10.1.0.10へRDP接続していることが確認できます。

コメント