FortigateをActiveDirectoryと連携

Fortigateを手に入れる機会があったので、せっかくなのでいろいろ勉強がてら触ってみることにしました。

Fortigateは「FortiClient」を使うと、手軽にVPN接続を使うことができるのですが、せっかくなのでユーザー情報を構築してあるActiveDirectoryと連携したいなと思いまして、チャレンジしてみることにしました。

環境

・Fortigate 60D (OSは6.0系)
・Synology DS218+ (Active Directoryの機能を利用)

構築手順

※ActiveDirectoryの構築は既に済んでいるものとして進めます(今回の記事では触れません)
※SSL-VPNの設定方法はこの記事では触れません(本記事ではLDAP連携の部分のみです)

LDAP連携をする

1)「ユーザ&デバイス」-「LDAPサーバ」の順にクリックします

2)「新規作成」をクリックします

3)必要情報を設定します

名前任意の名前 (例:ADUser)
サーバIP/名前ActiveDirectoryサーバーのIPアドレス (例:192.168.10.1)
サーバポート389
コモンネーム識別子sAMAccountName
識別子OU=Users,DC=contoso,DC=com 
(現在利用しているドメイン名がcontoso.comの場合の例です)
バインドタイプレギュラー
ユーザ名CN=Administrator,CN=Users,DC=contoso,DC=com
(DomainAdminのユーザーを指定します、CNはADの表示名の値を入力します)
パスワードユーザ名で指定したユーザーのパスワードを入力します

上記の値を設定し、「接続をテスト」をクリックすると、

Strong(er) authentication required (8)

…え、エラーが出るじゃないですか!強力な認証ってなんですか!!

Fortigate側の設定をいろいろいじってみてもエラーが出るばかり。なんだろうかと調べたところ、今回の環境が「Synology 」のNASで構築したADは、いわゆる「SAMBA」を使ったAD。この「SAMBA」がキーポイント。
SAMBAはセキュリティが上がったそうで、セキュアな認証を使わないと認証を許可しないよ、という設定にアップデートされた模様です。

New Default for LDAP Connections Requires Strong Authentication

https://wiki.samba.org/index.php/Updating_Samba#On_Samba_Active_Directory_DC.27s

Fortigateから認証問い合わせに行くときは、強力な認証ではないということですね簡単に言いますと…。
SAMBAの設定を変える必要があるとのことなので、Synology 側のSAMBAの設定を変更します。
※注意※
SSHで設定変更を行いますので、Synology NASが満足した動作をしなくなる(まったく動作しなくなる)可能性がありますので、実施する際は「自己責任」でお願いします

SynologySAMBAの設定変更

A)SSHでSynologyにAdminユーザーでログインする
※SSH接続をSynology側で許可する必要があります。SSH許可の設定方法はこの記事では解説しません

B)「$ sudo vi /etc/samba/smb.conf」を実行し、
Adminユーザーのパスワードを入力します

C)[global]設定ファイル内に下記2行を追記し、保存します

client ldap sasl wrapping = plain
ldap server require strong auth = no

D)SSHから抜けて、Synologyを再起動します

上記のSynologyの設定変更を行い、Synologyが再起動したところで、もう一度Fortigate側で設定を入力し、「接続をテスト」をクリック。すると…

おぉ!!きました!! SAMBAが原因だったんですね…これははまりますわ…。

その後、ActiveDirectory側からユーザー情報が参照でき、そのユーザーをFortigate側で許可ユーザーに登録し、無事使えるようになりました。SSL-VPNの設定はまた別の機会にご紹介できたらご紹介させていただくとして…。

なかなか原因を調べたり英文の記事を探したりと大変でしたが、(普段英文はスルーしたくなるタイプです…)
新しい環境ですとこのようなエラーが出る場合がありますので、もし同じような問題に当たった場合は、参考にしていただきお役に立てれば幸いです。

コメント

コメントを残す