FortiNet

Para usar o recurso RadSec no seu FortiGate para WiFi (com FortiAPs), o firmware FortiOS 7.6.0 ou posterior é necessário no FortiGate.

Preparar certificados

Para estabelecer uma conexão RadSec válida, seus Access Points devem confiar no Certificado de Servidor RADIUS e seu servidor RADIUS deve confiar no seu Certificado de Cliente RadSec. Para conseguir isso,

Faça o download do certificado raiz da AC que emitiu seu ativo Certificado de Servidor RADIUS conforme descrito aqui.
Crie um Certificado de Cliente RadSec para seus WAPs (gerenciados centralmente via FortiGate). Se você estiver usando SCEPman Certificate Master, o processo está descrito aqui. FortiGate aceita o formato PKCS#12 para certificados de cliente RadSec.

Assegure-se de monitorar a expiração do seu Certificado de Cliente RadSec e renová-lo em tempo hábil para prevenir interrupções do serviço.

Adicione o certificado raiz da CA que emitiu o Certificado de Cliente RadSec à sua instância RADIUS conforme descrito aqui e selecione RadSec em Usar para. Caso o Certificado de Cliente RadSec tenha sido emitido pelo SCEPman e você já confie na CA Raiz do SCEPman para autenticação de clientes, simplesmente edite o certificado da CA Raiz confiável do SCEPman e selecione Ambos em Usar para.

Configuração do FortiGate

As configurações abaixo são as necessárias para estabelecer uma conexão RadSec funcional com nosso serviço. Configure quaisquer outras opções a seu critério.

Via UI

Para configurar RadSec na UI do seu FortiGate, siga os passos:

Crie um novo Servidor RADIUS e adicione seu endereço IP do servidor RadSec em IP/Nome. Para a Segredo, use "radsec".

Importe o CA raiz do Certificado do seu Servidor RADIUS para o FortiGate Certificados em Sistema > Certificados > Importar > Certificado CA. A CA raiz importada será listada em Certificado CA Remoto.

Importe o Certificado de Cliente RadSec para o seu FortiGate em Sistema > Certificados > Importar > Certificado.

Modifique a configuração do servidor RADIUS no seu FortiGate para usá-lo como certificado de cliente RadSec.
Se estiver habilitado, por favor desative o verificação-de-identidade-do-servidor na configuração do seu servidor RADIUS do FortiGate.

Via linha de comando

Para configurar RadSec no seu FortiGate usando a linha de comando, por favor use os conjuntos de instruções abaixo:

configuração do servidor RADIUS

config user radius

    edit "radiusaas"

        set server "radsec-CLIENTNAME.radius-as-a-service.com"

        set secret radsec

        set acct-interim-interval 600

        set radius-port 2083

        set transport-protocol tls

        set ca-cert "CA_Cert"

        set client-cert "certificate-fortigate"

        set server-identity-check disable

    next

end

# Nomeie a CA raiz do Certificado do seu Servidor RADIUS
set ca-cert "CA_Cert"

# Nomeie o certificado de cliente RadSec
set client-cert "certificate-fortigate"

Configuração do SSID WiFi

config wireless-controller vap

    edit "client-wireless"

        set ssid "client-wireless"

        set security wpa2-only-enterprise

        set pmf enable

        set 80211k disable

        set 80211v disable

        set auth radius

        set radius-server "radiusaas"

        set local-bridging enable

        set schedule "always"

    next

end

Referências

Link para a documentação do FortiGate sobre a configuração RadSec: https://docs.fortinet.com/document/fortigate/7.6.0/administration-guide/729374/configuring-a-radsec-client

Last updated 1 year ago

Was this helpful?

Good afternoon

hashtagPreparar certificados

hashtagConfiguração do FortiGate

hashtagVia UI

hashtagVia linha de comando

hashtagconfiguração do servidor RADIUS

hashtagConfiguração do SSID WiFi

hashtagReferências

Preparar certificados

Configuração do FortiGate

Via UI

Via linha de comando

configuração do servidor RADIUS

Configuração do SSID WiFi

Referências