Este artículo aborda un problema común relacionado con la configuración de un portal cautivo externo en dispositivos FortiGate utilizando FortiAuthenticator (FAC). La correcta implementación del portal cautivo es crucial para garantizar una autenticación segura y fluida de los usuarios. Aquí, te proporcionaremos un conjunto de pasos de diagnóstico y solución que te ayudarán a resolver cualquier inconveniente que pueda surgir en el proceso de configuración.
Índice
Descripción del problema
Al implementar un portal cautivo externo en FortiGate, es común enfrentarse a dificultades técnicas que pueden afectar la autenticación de los usuarios. Estos problemas pueden surgir debido a configuraciones incorrectas en el FortiGate o en el FortiAuthenticator, incluyendo problemas de conectividad de red y configuraciones erróneas de RADIUS. Abordar estos problemas es esencial para mantener la seguridad y la accesibilidad del sistema.
Alcance
Este artículo es aplicable a dispositivos FortiGate y FortiAuthenticator.
Diagnóstico paso a paso
A continuación, detallamos el proceso de diagnóstico y configuración para el portal cautivo:
Configuración de la interfaz en FortiGate
- IP de la interfaz: Accede a Red -> Interfaces.
Configuración del portal cautivo en la interfaz LAN de FortiGate
Asegúrate de que estás en la interfaz LAN donde se ha configurado el portal cautivo y revisa la dirección IP del FortiAuthenticator (Ej. 10.5.133.28).
Configuración del servidor RADIUS en FortiGate
- Configuración del servidor RADIUS: Ve a Usuario y Autenticación -> Servidores RADIUS.
Configuración del grupo de usuarios en FortiGate
- Configura grupo de usuarios: Accede a Usuario y Autenticación -> Grupos de Usuarios.
Nota: Es necesaria una política de firewall desde LAN a WAN. Asegúrate de que la IP del FortiAuthenticator (10.5.133.28) sea accesible desde el FortiGate.
Solución recomendada
Para configurar el portal cautivo en FortiAuthenticator, sigue estos pasos:
- Configurar cliente RADIUS en FortiAuthenticator: Dirígete a Autenticación -> Servicio RADIUS -> Clientes.
Configura el FQDN del dispositivo
Puedes configurarlo como el FQDN o la IP del FortiGate, la cual se utilizará para la página del portal cautivo externo.
Habilitar servicio de portal cautivo
Ve a Red -> Interfaz -> Servicios.
Crear grupo de usuarios en FortiAuthenticator
Accede a Autenticación -> Grupos de Usuarios -> Grupos de Usuarios.
Puntos de acceso
Ve a Autenticación -> Portales -> Puntos de Acceso y configura la dirección IP del FortiGate.
Comandos CLI utilizados
Para verificar la autenticación del usuario, se pueden utilizar los siguientes comandos:
diagnose firewall auth listdiagnose sniffer packet any 'host 10.5.133.28' 4 0 lBuenas prácticas y recomendaciones
Activar la página de cierre de sesión en el navegador del usuario tras habilitar auth-keepalive en la configuración global del FortiGate:
config system global
set auth-keepalive enable
endEsto asegura que el usuario pueda cerrar sesión correctamente después de terminar su sesión.
Notas adicionales
Verifica el registro de autenticación en el FortiGate para asegurarte de que el usuario ha sido autenticado correctamente.
diagnose firewall auth listEsto te permitirá identificar cualquier problema en la autenticación de los usuarios.
Además, consulta la documentación de Fortinet para realizar capturas de paquetes y revisar la conectividad RADIUS entre FortiGate y FortiAuthenticator.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!