FortiGate: 802.1x Authentication mit Windows NPS

Die Verbindung zum Windows NPS Server steht und die 802.1x-Authentication ist auf dem Hardware-Switch aktiviert. Obwohl scheinbar alles richtig konfiguriert ist, schlägt die 802.1x Authentication fehl.

Fehlermeldung: 802.1x EAP authentication failed. The port [internal4] is unauthorized and under virtual switch [switch2].
„FortiGate: 802.1x Authentication mit Windows NPS“ weiterlesen

FortiOS 6.2: Upgrade Notes

As with every software product, even the latest and greatest releases have some known glitches. That’s one of the reasons why you should review the release notes as part of the upgrade process.

But even then you might face a not-yet-documented issue. You’ll find some notable examples below.

FortiAPs won’t connect anymore (6.2.1)

Some customers have reported, that their FortiAPs won’t connect anymore after upgrading to FortiOS 6.2.1. Fortinet has confirmed that this is a know issue only when using trusted hosts to restrict the administrative access to the FortiGate.

The official workaround is to add the FortiAP’s IP or subnet as an additional trusted host entry on one of the admin users:

config system admin 
   edit "adminuser"
     set trusthostx 10.33.33.3 255.255.255.255 <-- IP Address of the FortiAP
   next
 end

RADIUS Server behind VPN-Tunnel not working (6.2.1)

When using a RADIUS server behind an IPsec-tunnel, you most likely had to configure the source-ip in the radius configuration (normally to the internal address of the firewall). A bug in FortiOS 6.2.1 prevents this from working. As a workaround you’ll have to use an ip address owned by the outgoing interface.

config user radius
  edit "nps-server"
    set source-ip "192.168.101.99" <-- IP Address of the outgoing (IPsec)interface
  next
end 

FortiGate Radius Authentication mit Identikey Group Attributes

Um IPSec Verbindungen oder das SSL Portal auf der FortiGate genügend abzusichern, können Einmalpasswort Token von Vasco für den Login genutzt werden.

Bis anhin konnte der Identikey Server von Vasco das Einmalpasswort verifizieren aber keine Gruppenattribute zurückgeben. Dies ist nun mit der Version 3.2 vom Identikey Server möglich.

Auf der FortiGate muss nun der Radius Server einmal erfasst und pro Benutzergruppe auf der FortiGate das entsprechende Group Attribute hinterlegt werden.

Auf dem Identikey Server wird jedem Benutzer das jeweilige Group Attribut hinterlegt. Damit wird der Benutzer nach dem Login auf der FortiGate automatisch der richtigen Gruppe zugeordnet.

Link auf doc.boll.ch
(mit Reseller Account sichtbar)