FortiNet

Para usar o recurso RadSec no seu FortiGate para WiFi (com FortiAPs), o firmware FortiOS 7.6.0 ou posterior é necessário no FortiGate.

Preparar certificados

Para estabelecer uma conexão RadSec válida, os seus Access Points devem confiar no Certificado do servidor RADIUS e o seu servidor RADIUS deve confiar no seu Certificado de Cliente RadSec. Para conseguir isso,

Descarregue o certificado raiz da CA que emitiu o seu Certificado do servidor RADIUS conforme descrito aqui.
Crie um Certificado de Cliente RadSec para seus WAPs (gerenciados centralmente via FortiGate). Se você estiver usando SCEPman Certificate Master, o processo é descrito aqui. O FortiGate aceita o PKCS#12 formato para certificados de cliente RadSec.

Certifique-se de monitorizar a expiração do seu Certificado de Cliente RadSec e renová-lo a tempo para evitar interrupções no serviço.

Adicione o certificado raiz da CA que emitiu o Certificado de Cliente RadSec à sua instância RADIUS conforme descrito aqui e selecione RadSec em Usar para. No caso de a Certificado de Cliente RadSec tenha sido emitido pela SCEPman e já confie na SCEPman Root CA para autenticação de cliente, basta editar o certificado SCEPman Root CA confiável e selecionar Ambos em Usar para.

Configuração do FortiGate

As definições abaixo são as definições necessárias para estabelecer uma ligação RadSec funcional com o nosso serviço. Configure quaisquer outras definições a seu critério.

Via interface gráfica

Para configurar o RadSec na interface gráfica do seu FortiGate, siga os passos abaixo:

Crie um novo Servidor RADIUS e adicione o seu endereço IP do servidor RadSec em IP/Nome. Para o Segredo, use "radsec".

Importe o CA raiz do certificado do seu servidor RADIUS para o FortiGate Certificados em Sistema > Certificados > Importar > Certificado CA. A CA raiz importada será listada em Certificado CA remoto.

Importe o Certificado de Cliente RadSec para o seu FortiGate em Sistema > Certificados > Importar > Certificado.

Modifique a configuração do servidor RADIUS no seu FortiGate para usá-lo como certificado de cliente RadSec.
Se estiver ativado, desative o server-identity-check na configuração do servidor RADIUS do seu FortiGate.

Via linha de comando

Para configurar o RadSec no seu FortiGate usando a linha de comando, use os conjuntos de instruções abaixo:

Configuração do servidor RADIUS

config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Nomeie a CA raiz do certificado do seu servidor RADIUS
set ca-cert "CA_Cert"

# Nomeie o certificado de cliente RadSec
set client-cert "certificate-fortigate"

Configuração do SSID WiFi

config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end

Referências

Link para a documentação da FortiGate sobre a configuração do RadSec: https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client

Última atualização há 1 ano

Isto foi útil?