FortiOS 6.2: Autenticación Wifi con Active Directory y asignación dinámica de vlan según el grupo al que pertenece

Objetivo:

El objetivo de esta configuración es autenticar por medio del Active Directory a los usuarios y al mismo tiempo asignarlos en la vlan que corresponde.

Para llevar a cabo esta configuración se utilizó:

• VMWare Workstation 14.1.7
• Fortiwifi30E
• FortiSwitch 248D
• FortiAP 221C
• Microsoft Windows Server 2019

Topología:

Los pasos necesarios para configurar esta topología serían los siguientes:

Comenzamos con la configuración del Windows Server.

Premisa: La configuración de DNS y Active Directory ya están hechas correctamente.

Instalamos, configuración Network Policy Server y Certificate Authority

Instalación y configuración Certification Authority:

En el Server Manager:

Manage -> Add Roles and Features

Una vez instalado los roles realizamos la configuración inicial (todas las opciones se pueden modificar a gusto)

Next

Seleccionamos ambos roles para configurarlos

Next

Next

Next

Next

Next

Next

Instalacion y configuración Nerwork Policy Server

Manage -> Add Roles and Features

De la lista seleccionamos “Network Policy and Access Services” y luego Next hasta iniciar la instalación.

Una vez finalizada la instalación abrimos la consola “Network Policy Server”

Lo primero que hacemos es declarar el Fortigate, para esto lo damos de alta en menú RADIUS Clients:

Click derecho -> New

Competamos los datos y damos OK

Luego damos de alta los grupos y los asociamos con su respectiva vLanID, para esto vamos a:

Policies -> Network Polices -> (Click derecho) New

Realizaremos la configuración para Marketing, la configuración para Sales es análoga:

Next

La condición que agregamos es User Groups:

Agregamos el grupo Marketing

Ok -> Next

Next

En Authentication Methods debemos dejarlo de la siguiente manera:

EAP Types: debemos agregar “Microsoft; Protected EAP (PEAP)”

Y debemos destilar “Microsoft Encrypted Authentication”

Next

En la siguiente pantalla no debemos realizar ninguna configuración:

Next

En la siguiente pantalla deberemos configurar los siguientes parámetros:

Tunnel-Type: VLAN

Tunnel-Medium-Type: IEEE-802

Tunnel-Pvt-Group-Id: 500 (en este parámetro debemos colocar el ID que para nuestro caso es el 500)

Next -> Finish

Imagen de como quedan configuradas las políticas de acceso:

Ahora configuraremos el Fortigate:

Declaramos el server de RADIUS:

User & Device -> RADIUS Server -> Create New

 

Ahora generamos las vLan con su configuracion

WiFi & Switch Controller -> FortiSwitch VLANs -> Create New

 

 

 

 

 

 

 

 

Configuramos las VLANs en el puerto del donde está conectado el FortiAP de la siguiente manera:

Ahora configuraremos el SSID de la siguiente manera:

WiFi & Switch Controller -> SSID -> Create New -> SSID

Agregamos el SSID al perfil

WiFi & Switch Controller -> FortiAP Profiles -> Edit

Agregamos las políticas para darle internet a estas vlans

Policy & Objects -> IPv4 Policy

Primero nos conectamos con el usuario dentro del grupo Marketing:

Verificamos que se nos asignó la ip y vlan correspondiente:

Repetimos con Sales:

Verificamos que se nos asignó la ip y vlan correspondiente: