AutenticaciónFortiSwitchGuías técnicas
FortiOS 6.2: Autenticación Wifi con Active Directory y asignación dinámica de vlan según el grupo al que pertenece
Objetivo:
El objetivo de esta configuración es autenticar por medio del Active Directory a los usuarios y al mismo tiempo asignarlos en la vlan que corresponde.
Para llevar a cabo esta configuración se utilizó:
- VMWare Workstation 14.1.7
- Fortiwifi30E
- FortiSwitch 248D
- FortiAP 221C
- Microsoft Windows Server 2019
Topología:
Los pasos necesarios para configurar esta topología serían los siguientes:
Comenzamos con la configuración del Windows Server.
Premisa: La configuración de DNS y Active Directory ya están hechas correctamente.
Instalamos, configuración Network Policy Server y Certificate Authority
Instalación y configuración Certification Authority:
En el Server Manager:
Manage -> Add Roles and Features
Una vez instalado los roles realizamos la configuración inicial (todas las opciones se pueden modificar a gusto)
Next
Seleccionamos ambos roles para configurarlos
Next
Next
Next
Next
Next
Instalacion y configuración Nerwork Policy Server
Manage -> Add Roles and Features
De la lista seleccionamos “Network Policy and Access Services” y luego Next hasta iniciar la instalación.
Una vez finalizada la instalación abrimos la consola “Network Policy Server”
Lo primero que hacemos es declarar el Fortigate, para esto lo damos de alta en menú RADIUS Clients:
Click derecho -> New
Competamos los datos y damos OK
Luego damos de alta los grupos y los asociamos con su respectiva vLanID, para esto vamos a:
Policies -> Network Polices -> (Click derecho) New
Realizaremos la configuración para Marketing, la configuración para Sales es análoga:
Next
La condición que agregamos es User Groups:
Agregamos el grupo Marketing
Ok -> Next
Next
En Authentication Methods debemos dejarlo de la siguiente manera:
EAP Types: debemos agregar “Microsoft; Protected EAP (PEAP)”
Y debemos destilar “Microsoft Encrypted Authentication”
Next
En la siguiente pantalla no debemos realizar ninguna configuración:
Next
En la siguiente pantalla deberemos configurar los siguientes parámetros:
Tunnel-Type: VLAN
Tunnel-Medium-Type: IEEE-802
Tunnel-Pvt-Group-Id: 500 (en este parámetro debemos colocar el ID que para nuestro caso es el 500)
Next -> Finish
Imagen de como quedan configuradas las políticas de acceso:
Ahora configuraremos el Fortigate:
Declaramos el server de RADIUS:
User & Device -> RADIUS Server -> Create New
Ahora generamos las vLan con su configuracion
WiFi & Switch Controller -> FortiSwitch VLANs -> Create New
Configuramos las VLANs en el puerto del donde está conectado el FortiAP de la siguiente manera:
Ahora configuraremos el SSID de la siguiente manera:
WiFi & Switch Controller -> SSID -> Create New -> SSID
Agregamos el SSID al perfil
WiFi & Switch Controller -> FortiAP Profiles -> Edit
Agregamos las políticas para darle internet a estas vlans
Policy & Objects -> IPv4 Policy
Primero nos conectamos con el usuario dentro del grupo Marketing:
Verificamos que se nos asignó la ip y vlan correspondiente:
Repetimos con Sales:
Verificamos que se nos asignó la ip y vlan correspondiente: