Hola a tod@s.
En este post vamos a ver como autenticarnos a una VPN SSL con un segundo factor de autenticación usando una cuenta de correo electrónico.
- Accedemos a nuestro firewall Fortigate, y nos situamos sobre Usuario y Dispositivo > Definición de Usuario, como podemos ver tenemos el usuario local joseramon.ramos, si lo editamos vemos que pertenece al grupo que tiene acceso a la VPN SSL:
- Vamos a realizar una prueba de conexión a la VPN SSL, para verificar que este usuario puede acceder:
- Si accedemos a Monitor > Monitor SSL-VPN, podemos ver que el usuario está conectado:
- Para configurar el segundo factor de autenticación por correo electrónico, lo primero que tenemos que hacer es configurar el servicio SMTP en nuestro Fortigate, para ello, accedemos a Sistema > Configuración > Email Service y configuramos nuestro servidor SMTP:
- Si accedemos a la CLI y ejecutamos el comando config system email-server, también lo podemos configurar desde aquí, con get obtenemos la configuración realizada:
- La otra configuración que tenemos que realizar para aplicar el segundo factor de autenticación a nuestros usuarios vpn es configurar un Fortitoken por email, pero como podemos ver, a través de la interfaz gráfica es imposible, ya que solo nos da las opciones de FortiToken Mobile y FortiToken Cloud, ambas opciones de pago, si lo configuramos por email no debemos de adquirir ninguna licencia:
- Pues bien, si accedemos, a la CLI podemos configurar el segundo factor de autenticación por correo electrónico, ejecutamos el comando config user local para acceder al modo de configuración de usuarios locales y ejecutando show nos mostrará la información de todos nuestros usuarios:
- Editamos el usuario al que le vamos a configurar el segundo factor de autenticación por email, edit usuario y con get vemos toda la información:
- Si ejecutamos el comando set two-factor y pulsamos la tecla ?, podemos ver las opciones de configuración del segundo factor de autenticación, mucho más completa que con la interfaz gráfica, ya que nos aparece la opción de poder configurar este segundo factor de autenticación por email:
- Con el comando set two-factor email habilitamos el segundo factor de autenticación vía correo electrónico:
- Ejecutando set email-to cuenta de email, le añadimos la cuenta de correo del usuario que será donde se reciban los token para autenticarse contra la VPN SSL:
- Si hacemos un get podemos ver que ya tenemos habilitado el segundo factor de autenticación por correo electrónico:
- Ejecutamos end para finalizar y que se guarden los cambios:
- Si accedemos a la interfaz gráfica ya podemos ver las configuraciones que hemos realizado:
- Ahora vamos a probar el acceso a nuestra VPN SSL con el usuario al que le hemos configurado el segundo factor de autenticación por email, para verificar que todo funciona correctamente, aquí vemos con nos pide el token que se ha enviado por mail:
- Aquí vemos el token recibido por email:
- Lo introducimos en nuestro Forticlient y Aceptamos:
- Como podemos ver ya estamos conectados a la VPN SSL con el segundo factor de autenticación por mail:
Saludos y espero que os resulte de ayuda 😉
Buenas tardes, Muy buen aporte. Se podría realizar por usuarios de grupos de AD que ya conectan por Foticlient, o solo por usuarios locales. Gracias un saludo
Gracias por la entrada! No se puede explicar mejor y me ha sido súper útil!
La verdad es que este tipo de funcionalidades sólo accesibles desde el CLI son un poco peñazo… y encontrarlas puede llegar a ser frustrante.
Un saludo.
Gracias Coco
Un saludo compañero
Buenos días,
Si quieres hacer que un grupo de usuarios de ldap les llegue a sus correos el token sabrías decirme como hacerlo .
Nosotros tenemos autenticación por grupos de LDAP para las VPN ,no tenemos usuarios locales creados en los firewall.
buen dia, yo tengo mi fw por usuarios de ldap y locales y me funciona para ambos tipos de usuarios sin problema.
Hola Jhon
seguiste el mismo proceso para configurar la doble autenticacion
en los usaurios LDAP
Saludos
Como se haría como dice Jhon?
para varios usuarios por LDAP, sin ir 1 por 1 configurando la doble autenticación?
Muchas gracias JRAMOS.
Una entrada realmente útil.
Gracias Mikel
Hi JRamos
Thanks for your explicative solution, so i neet to ask you a quesion: If i enable by cli the second factor autentication can i risk to lost the possibility to use the key generated by Fortitoken Mobile?
Or i can choose if i want put inside in the token field the token generated by email or Forti token Mobile?
Thanks a lot
que pasa cuando el usuario no activa el token dentro del tiempo especifico? como se vuelve a generar otro codigo¡