Fr\u00fcher oder sp\u00e4ter kommt man an den Punkt wo man seine User zentral Administrieren will. Und so z.B. seine Admin-User in einem Radiusserver hinterlegt.<\/p>\n
F\u00fcr Fortigates sind die Eintragungen einfach: Jetzt muss man der Fortigate Konfigurationen vornehmen Wir konfigurieren einen Radiusserver (172.16.1.32) mit PSK 12345678<\/p>\n Dann legen wir eine User Gruppe an die den Server abfragt:<\/p>\n Und ordnen nun eine „Wildcardadmingruppe“ dieser Usergroup zu. Diese hei\u00dft hier „wildcard“<\/p>\n Jeder user („wildcard enable“) wird gegen Radius gepr\u00fcft hat aber standardm\u00e4\u00dfig „noaccess“ als accprofile<\/em>. Das verhindert das ein beliebiger g\u00fcltiger Radiususer irgendwas auf der Fortigate darf. <\/p>\n Dieses accprofil<\/em> kann (und muss) dann vom Radius \u00fcberschrieben werden. Ebenso k\u00f6nnte man die vdom auf die ein User Zugriff hat spezifizieren. – Das wird hier aber nicht gemacht.<\/p>\n Lokale User werden lokal an der Fortigate verifiziert, alle anderen dank Wildcard im Radius nachgeschlagen.<\/p>\n","protected":false},"excerpt":{"rendered":" Fr\u00fcher oder sp\u00e4ter kommt man an den Punkt wo man seine User zentral Administrieren will. Und so z.B. seine Admin-User in einem Radiusserver hinterlegt. F\u00fcr Fortigates sind die Eintragungen einfach: Im Radiusserver hinterlegt man nur das f\u00fcr Fortigate g\u00fcltige admin-profil (hier in \/etc\/freeradius\/users): „fortiadmin“ Cleartext-Password:= „fortiadmin“ User-Service-Type = Login-User, Fortinet-Access-Profile = super_admin „fortiread“ Cleartext-Password:= „fortiread“ … User Authentifizierung gegen Radius – Fortinet<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,28,12,13],"tags":[],"class_list":["post-282","post","type-post","status-publish","format-standard","hentry","category-erfahrungen","category-fortinet","category-job","category-linux"],"_links":{"self":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/282","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/comments?post=282"}],"version-history":[{"count":10,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/282\/revisions"}],"predecessor-version":[{"id":292,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/282\/revisions\/292"}],"wp:attachment":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/media?parent=282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/categories?post=282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/tags?post=282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nIm Radiusserver hinterlegt man nur das f\u00fcr Fortigate g\u00fcltige admin-profil (hier in \/etc\/freeradius\/users<\/em>):<\/p>\n\r\n\"fortiadmin\" Cleartext-Password:= \"fortiadmin\"\r\n User-Service-Type = Login-User,\r\n Fortinet-Access-Profile = super_admin\r\n\"fortiread\" Cleartext-Password:= \"fortiread\"\r\n User-Service-Type = Login-User,\r\n Fortinet-Access-Profile = read_only\r\n<\/pre>\n
\nAls erstes legen wir ein „read_only“ Profile an und eins was garnichts darf („noaccess“), das ist f\u00fcr g\u00fcltige User, die keine Fortigate VSAs haben.<\/p>\n\r\nconfig system accprofile\r\n edit \"read_only\"\r\n set admingrp read\r\n set authgrp read\r\n set endpoint-control-grp read\r\n set fwgrp read\r\n set loggrp read\r\n unset menu-file\r\n set mntgrp read\r\n set netgrp read\r\n set routegrp read\r\n set sysgrp read\r\n set updategrp read\r\n set utmgrp custom\r\n set vpngrp read\r\n config utmgrp-permission\r\n set antivirus read\r\n set application-control read\r\n set data-loss-prevention read\r\n set ips read\r\n set spamfilter read\r\n set webfilter read\r\n end\r\n next\r\n edit \"noaccess\"\r\n unset menu-file\r\n next\r\nend\r\n<\/pre>\n
\r\nconfig user radius\r\n edit \"freeradius\"\r\n set all-usergroup enable\r\n set auth-type chap\r\n set nas-ip 172.16.1.2\r\n set secret 12345678\r\n set server \"172.16.1.32\"\r\n next\r\nend<\/pre>\n
\r\nconfig user group\r\n edit \"radadmin\"\r\n set member \"freeradius\" \r\n next\r\nend<\/pre>\n
\r\nconfig system admin\r\n edit \"wildcard\"\r\n set remote-auth enable\r\n set accprofile \"noaccess\"\r\n set vdom \"root\"\r\n set wildcard enable\r\n set remote-group \"radadmin\"\r\n set radius-accprofile-override enable\r\n set radius-vdom-override enable\r\n next\r\nend \r\n<\/pre>\n