■ポリシー&オブジェクト
こんな感じで設定します。(投げやり)
■ユーザ
ユーザ設定が一番のポイントです。ウィザードで2つのVPNアカウントを作ったかと思います。FortiはToken推奨となり、Emailでの2要素認証はGUIで封印されていますのでコマンドで設定が必要です。
まず2要素認証でemail認証をするVPNアカントを作ります。Emailのチェックボタンがでデフォルトで表示されていません。コマンドを実行後に再度画面を開くとこんな感じに。
必ず”wizard_sslvpn_usergroup”を選択しておきます。
・コマンドでemail2要素認証を有効にするコマンド
# conf user local
# edit ユーザ名
# set two-factor email
次にスマホToken認証用のVPNユーザを作ります。こんな感じで設定して、アクティベーションコードを送ってみます。
(必ず”wizard_sslvpn_usergroup”を選択しておきます。)
こんなメールが届きます。
スマホアプリをDLします。
Apple FortiToken Mobile
https://itunes.apple.com/jp/app/fortitoken-mobile/id500007723?mt=8
Android FortiToken Mobile
https://play.google.com/store/apps/details?id=com.fortinet.android.ftm&hl=ja
2次元コードをScanで読み取ると、ワンタイムパスワードが表示されるようになります。
設定はこれでおわり。
お疲れ様でした。次は動作確認をしていきます。
—————————————————–
本連載のシリーズ
【Fortigate】SSL-VPN経由で社外から業務サイトに安全にアクセスする
【Fortigateで2要素認証、SSL-VPN編】 設定編1 下準備
【Fortigateで2要素認証、SSL-VPN編】 設定編2 ウィザードでざっくり設定
【Fortigateで2要素認証、SSL-VPN編】設定編3 SSLポータル、SMTP設定
【Fortigateで2要素認証、SSL-VPN編】 設定編4 ポリシー、ユーザ
【Fortigateで2要素認証、SSL-VPN編】 動作確認
