Cómo ya vimos en este otro artículo, configuramos un FortiAuthenticator para aportar una mayor seguridad a las conexiones VPN, aunque también se podría utilizar para otros propósitos como autenticación en el firewall, iniciar sesión en un equipo Windows…
En esta entrada, lo que veremos será como crear un grupo en el FAC para que se vaya sincronizando con el servidor de LDAP y así no tengamos que importar/crear los usuarios manualmente.
Lo primero que haremos será crear un grupo de usuarios en el FortiAuthenticator de la siguiente manera:
Una vez creado el grupo nos dirigimos a la opción «Remote User Sync Rules«:
Creamos uno nuevo, seleccionamos el servidor LDAP y en la opción «Set Group Filter» filtraremos por el grupo que queramos de nuestro árbol. En este caso, el token se enviará exclusivamente por email y sincronizaremos cada 5 minutos. Los usuarios se asociarán al grupo que creamos al principio «G_LDAP«:
Actualmente el grupo G_ADMIN tiene los siguientes miembros:
Si añadimos por ejemplo al usuario «Carmen», pasados 5 minutos se sincronizará en el FAC y podremos autenticarnos con dicha usuaria:
También se puede forzar la sincronización:
Si en estos momentos, consultamos de nuevo el grupo de usuarios veremos que se ha traído el FAC a la nueva usuaria «Carmen»:
A continuación, probamos a autenticarnos en un Windows10 con la usuaria que recién se ha sincronizado en el FortiAuthenticator:
Introducimos el token recibido vía email:
Observamos que iniciamos sesión correctamente en el equipo:
IMPORTANTE: Para la autenticación con doble factor en sistemas Windows requiere de mas configuraciones que no se abordan en este artículo como la instalación del agente, configuración del Windows Server, permisos en la interfaz del FAC… todo esto se recopilará en una futura entrada con todos los detalles.
