FortiNet

Para usar la función RadSec en su FortiGate para WiFi (con FortiAPs), se requiere FortiOS 7.6.0 o posterior en el FortiGate.

Preparar certificados

Para establecer una conexión RadSec válida, sus Puntos de Acceso deben confiar en el Certificado de servidor RADIUS y su servidor RADIUS debe confiar en su Certificado de Cliente RadSec. Para lograr esto,

Descargue el certificado raíz de la CA que ha emitido su Certificado de servidor RADIUS como se describe aquí.
Cree un Certificado de Cliente RadSec para sus WAPs (gestionados centralmente a través de FortiGate). Si está usando SCEPman Certificate Master, el proceso se describe aquí. FortiGate acepta el PKCS#12 formato para certificados de cliente RadSec.

Asegúrese de supervisar la caducidad de su Certificado de Cliente RadSec y renuévelo a tiempo para evitar interrupciones del servicio.

Agregue el certificado raíz de la CA que emitió el Certificado de Cliente RadSec a su instancia RADIUS como se describe aquí y seleccione RadSec bajo Usar para. En caso de que el Certificado de Cliente RadSec haya sido emitido por SCEPman y usted ya confíe en la CA raíz de SCEPman para la autenticación de clientes, simplemente edite el certificado de la CA raíz de SCEPman confiable y seleccione Ambos bajo Usar para.

Configuración de FortiGate

Las configuraciones siguientes son las necesarias para establecer una conexión RadSec funcional con nuestro servicio. Configure cualquier otra opción a su discreción.

Vía UI

Para configurar RadSec en la interfaz de FortiGate, siga los pasos:

Cree un nuevo Servidor RADIUS y agregue su dirección IP del servidor RadSec bajo IP/Nombre. Para el Secreto, use "radsec".

Importe el CA raíz de su Certificado de Servidor RADIUS al FortiGate Certificados bajo Sistema > Certificados > Importar > Certificado CA. La CA raíz importada se listará bajo Certificado CA remoto.

Importe el Certificado de Cliente RadSec a su FortiGate bajo Sistema > Certificados > Importar > Certificado.

Modifique la configuración del servidor RADIUS en su FortiGate para usarlo como certificado de cliente RadSec.
Si está habilitado, por favor deshabilite el server-identity-check en la configuración del servidor RADIUS de su FortiGate.

Vía línea de comandos

Para configurar RadSec en su FortiGate usando la línea de comandos, utilice los siguientes conjuntos de instrucciones:

Configuración del servidor RADIUS

config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Nombre la CA raíz de su Certificado de Servidor RADIUS
set ca-cert "CA_Cert"

# Nombre el certificado de cliente RadSec
set client-cert "certificate-fortigate"

Configuración del SSID WiFi

config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end

Referencias

Enlace a la documentación de FortiGate para la configuración de RadSec: https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client

Última actualización hace 1 año

¿Te fue útil?

Buenas noches

hashtagPreparar certificados

hashtagConfiguración de FortiGate

hashtagVía UI

hashtagVía línea de comandos

hashtagConfiguración del servidor RADIUS

hashtagConfiguración del SSID WiFi

hashtagReferencias

Preparar certificados

Configuración de FortiGate

Vía UI

Vía línea de comandos

Configuración del servidor RADIUS

Configuración del SSID WiFi

Referencias