1.ローカルユーザー・ユーザーグループを設定する
ユーザーとユーザーグループについて
FortiGateでは、リモートVPNユーザーを以下のように作成することができます。
- ローカルユーザー
- FortiGateで作成・保存されるユーザーです。パスワード認証のみですが、別途、モバイルトークンなどを申し込みすることにより、OTP(ワンタイムパスワード)トークンによる二要素認証をすることができます。簡単に設定でき、FortiGateだけで認証ができるためシステムダウンには強いですが、リモートVPNができるユーザーとパスワードを個別に管理する必要があるため、ユーザーが多くなると若干、面倒です。
- FortiGateで作成・保存されるユーザーです。パスワード認証のみですが、別途、モバイルトークンなどを申し込みすることにより、OTP(ワンタイムパスワード)トークンによる二要素認証をすることができます。簡単に設定でき、FortiGateだけで認証ができるためシステムダウンには強いですが、リモートVPNができるユーザーとパスワードを個別に管理する必要があるため、ユーザーが多くなると若干、面倒です。
- PKIユーザー
- FortiGateで作成・保存されるユーザーです。パスワードに加えクライアント証明書が必要になり、クライアント証明書に記載のSubjectを前方一致で照合させることができるため、鍵とパスワードでの二要素認証が実現できます。CAや証明書発行ツールを用意すれば、オプション費用無しに二要素認証ができるメリットがありますが、ローカルユーザーと同じように、ユーザーとパスワードを個別に管理する必要があるため、ユーザーが多くなると若干面倒です。
なお、PKIユーザーは、デフォルトではWEBUIでは現れません。FortiGateのCLIから一人目のPKIユーザーを追加した後は、WEBUIでのコントロールが可能になります。また、CAと証明書発行ツールは、当社が用意するツールを利用することもできます。
- FortiGateで作成・保存されるユーザーです。パスワードに加えクライアント証明書が必要になり、クライアント証明書に記載のSubjectを前方一致で照合させることができるため、鍵とパスワードでの二要素認証が実現できます。CAや証明書発行ツールを用意すれば、オプション費用無しに二要素認証ができるメリットがありますが、ローカルユーザーと同じように、ユーザーとパスワードを個別に管理する必要があるため、ユーザーが多くなると若干面倒です。
- Active Directory / LDAP / RADIUSユーザー
- 組織内のActive Directory ServerやLDAP Server、RADIUS Serverと連携することができます。別途、モバイルトークンなどをお申し込みすることにより、OTP(ワンタイムパスワード)トークンによる二要素認証をする事ができます。
ユーザー名をADやLDAPで管理することができるため、ユーザー数が多い環境に向いていますが、ADのダウン、ADまでのネットワーク疎通のロストなどによって、ログインができなくなる問題もありえます。別途お申し込みをすることにより、当社プライベートクラウド側にADやLDAPサーバのシブリングをセットアップすることもともできます。くわしくはFortinet社のドキュメントをご覧ください。
- 組織内のActive Directory ServerやLDAP Server、RADIUS Serverと連携することができます。別途、モバイルトークンなどをお申し込みすることにより、OTP(ワンタイムパスワード)トークンによる二要素認証をする事ができます。
それぞれのユーザーはグループに所属することができます。ユーザーやグループ単位でポリシー等の設定をすることができます。
基本的には「権限をグループに対して与え、グループ毎にポリシーで制御する」というのが、一般的な制御方法になります。
また、ローカルグループにLDAPのグループを含めることもできるので、ローカルグループ単位で制御するのも良いでしょう。
ローカルユーザーを設定する
1.新規ユーザー作成画面を開く
SSL-VPN接続を行うユーザーを作成します。
左メニュー「User & Device」>「User Definition」を開き、「+ Create New」をクリックします。
2.ユーザータイプを設定する
「Local User」を選択して、「Next」をクリックします。
3.ユーザーの認証情報を設定する
エンドユーザーがSSL-VPN接続する際に使用するログイン情報を設定します。下記の項目を入力し、「Next」をクリックします。
| Username | SSL-VPN接続する際に使用するユーザー名を入力します。 |
|---|---|
| Password | SSL-VPN接続する際に使用するパスワードを入力します。 |
4.メールアドレスを設定する
「Email Address」にユーザーのメールアドレスを入力し、「Next」をクリックします。
必要に応じて下記の項目を設定します。
| SMS | SMSベースの二要素認証を行います。 設定する場合は、スイッチをON(右側)にして「Country Dial Code」と「Phone Number」を入力します。 |
|---|---|
| Two-factor Authentication | オプションで二要素認証を行うことが可能です。 |
5.ユーザーステータスとグループを設定する
下記の項目を設定して、「Submit」をクリックします。
| User Account Status | Enabledが選択されていることを確認します。 ユーザーを無効に設定する場合は、Disabledを選択します。 |
|---|---|
| User Group | ユーザーグループを設定する場合はスイッチをON(右側) にし、ユーザーを所属させるグループをリストから選択します。リストにない場合は、必要に応じてユーザーグループを作成します。 |
6.完了
ユーザー一覧画面に戻り、作成したユーザーが表示されます。
ユーザーグループを設定する
1.新規ユーザーグループ作成画面を開く
SSL-VPN接続を行うユーザーのアクセス権限制御に使用するグループを作成します。
左メニュー「User & Device」>「User Groups」を開き、「+ Create New」をクリックします。
2.ユーザーグループを設定する
下記の項目を設定して、「OK」をクリックします。
| Name | ユーザーグループ名を入力します。 |
|---|---|
| Type | 「Firewall」を選択します。 |
| Members | グループに所属するユーザーを選択します。 |
3.完了
ユーザーグループ一覧画面に戻り、作成したユーザーグループが表示されます。
