FortiGate/Authentication23 Windows PC의 CMD에서 AD의 정보 확인 WIndows AD에 조인한 PC의 CMD창에서 "set" 명령어를 입력하면, 도메인에 속한 트리나 AD 정보에 대한 자세한 내용이 표시된다. 이 명령어는 사용자가 많거나 FSSO에 대한 그룹이 많을 때 유용하다. 2023. 4. 11. Radius 서버로 부터의 응답(access/challenge) timeout 늘리는 방법 Radius 서버로 인증요청을 하고 그 응답(Access Response/Access challenge)을 기다리는 default 시간은 5초이다. (Access challenge : 2-factor 인증 요청) 하지만, FortiGate와 Radius 서버 사이에 여러개의 hop을 거치면서 응답 시간이 늦어지거나, Radius 서버가 여러 Radius Client로 부터 인증요청을 처리하느라 응답이 늦어 질수 있다. 응답이 늦어짐에 따라 FortiGate에서 여러번 인증 요청을 하여 OTP를 여러번 수신(email/sms OTP)할 수도 있다. Radius Server의 인증 요청 시간을 늘리는 방법은 아래와 같다. config user radius edit set timeout end 2023. 1. 30. 정책에 설정하지 않았지만 RADIUS 인증을 받는 경우 인증 정책에 설정하지 않은 사용자가 인증에 성공하는 경우가 있다. 아래와 같이 SSLVPN에서 사용자 인증은 FortiGate의 Local 사용자인 "jim", "willy"에 대해서만 인증 설정을 하였다. 하지만 위에 설정되지 않은 사용자인 "ethan"이 인증되어 SSLVPN 접속에 성공하였다. 이는 RADIUS 연동설정에서 "Include in every user group" 설정이 enable 되었기 때문이다. 이 옵션은 방화벽의 모든 User Group에 RADIUS 서버의 사용자를 포함시키는 설정이다. 그렇기 때문에 인증에 설정하지 않은 사용자가 인증 되게 된다. 2022. 12. 14. POP3 서버를 이용한 인증 방법 FortiGate는 외부 인증서버인 LDAP, Radius, TACACS+, POP3 서버와 연동하여 사용자 인증이 가능하다. 그중 POP3 서버 인증 방법에 대한 설명이다. POP3 서버인증은 메일주소를 이용하여 인증하는 방식으로 CLI를 이요이하여 설정한다. 인증이 필요한 정책에 아래와 같이 설정한 사용자 그룹을 적용한다. 해당 사용자에 대한 인증은 email 주소와 비밀번호로 하게 되며, 인증 받은 사용자는 v7.0의 경우 Dashboard > Users & Devices > Firewall Users 위젯에서 아래와 같이 확인 가능하다. 2022. 4. 8. FortiToken Mobile Push 설정 FortiToken Mobile을 이용하여 2-factor 인증을 하게 되면, 사용자 ID/Password를 입력한 후에 아래와 같이 토근입력 창이 표시되어 핸드폰에 표시된 OTP 코드를 직접 입력해야 한다. 만약 push 기능을 활성화 하면, 핸드폰으로 알림이 push되어 OTP 코드를 직접 입력 하지 않고 아래의 'Approve' 버튼으로 인증 가능하다. FortiGate에서 CLI로 설정 하는 방법은 다음과 같다. server-ip는 핸드폰에서 'Approve' 신호를 받아야 하는 FortiGate의 인터페이스 IP이다. 일반적으로 인터넷과 연결된 IP 이다. 만약 상단에 다른 방화벽이 있어 NAT된다면, 상단 방화벽에서 DNAT 되어야하며 server-ip는 DNAT의 공인 IP를 입력해야 한다... 2022. 1. 21. 이전 1 2 3 4 5 다음
