FortiNet

Pour utiliser la fonctionnalité RadSec sur votre FortiGate pour le WiFi (avec des FortiAP), le firmware FortiOS 7.6.0 ou ultérieur est requis sur le FortiGate.

Préparer les certificats

Pour établir une connexion RadSec valide, vos points d’accès doivent faire confiance au certificat de serveur RADIUS et votre serveur RADIUS doit faire confiance à votre Certificat client RadSec. Pour ce faire,

Téléchargez le certificat racine de l'AC qui a émis votre certificat de serveur RADIUS comme décrit ici.
Créez un Certificat client RadSec pour vos WAP (gérés centralement via FortiGate). Si vous utilisez SCEPman Certificate Master, la procédure est décrite ici. FortiGate accepte le PKCS#12 format pour les certificats client RadSec.

Veillez à surveiller l'expiration de votre Certificat client RadSec et à le renouveler en temps utile pour éviter les interruptions de service.

Ajoutez le certificat racine de l’AC qui a émis le Certificat client RadSec à votre instance RADIUS comme décrit ici et sélectionnez RadSec sous Utiliser pour. Dans le cas où le Certificat client RadSec a été émis par SCEPman et que vous faites déjà confiance à la CA racine SCEPman pour l’authentification des clients, éditez simplement le certificat CA racine SCEPman de confiance et sélectionnez Les deux sous Utiliser pour.

Configuration FortiGate

Les paramètres ci-dessous sont les paramètres nécessaires pour établir une connexion RadSec fonctionnelle avec notre service. Configurez les autres paramètres à votre discrétion.

Via l'interface utilisateur

Pour configurer RadSec sur l'interface FortiGate, veuillez suivre les étapes :

Créez un nouveau serveur RADIUS et ajoutez votre adresse IP du serveur RadSec sous IP/Nom. Pour le Secret, utilisez « radsec ».

Importer le CA racine de votre certificat de serveur RADIUS au FortiGate Certificats sous Système > Certificats > Importer > Certificat CA. La CA racine importée sera listée sous Certificat CA distant.

Importer le Certificat client RadSec à votre FortiGate sous Système > Certificats > Importer > Certificat.

Modifiez la configuration du serveur RADIUS sur votre FortiGate pour l'utiliser comme certificat client RadSec.
Si activé, veuillez désactiver le server-identity-check dans la configuration du serveur RADIUS de votre FortiGate.

Via la ligne de commande

Pour configurer RadSec sur votre FortiGate en utilisant la ligne de commande, veuillez utiliser les jeux d'instructions ci-dessous :

Configuration du serveur RADIUS

config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Nommez la CA racine de votre certificat de serveur RADIUS
set ca-cert "CA_Cert"

# Nommez le certificat client RadSec
set client-cert "certificate-fortigate"

Configuration du SSID WiFi

config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end

Références

Lien vers la documentation FortiGate pour la configuration RadSec : https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?

Bonne nuit

hashtagPréparer les certificats

hashtagConfiguration FortiGate

hashtagVia l'interface utilisateur

hashtagVia la ligne de commande

hashtagConfiguration du serveur RADIUS

hashtagConfiguration du SSID WiFi

hashtagRéférences

Préparer les certificats

Configuration FortiGate

Via l'interface utilisateur

Via la ligne de commande

Configuration du serveur RADIUS

Configuration du SSID WiFi

Références