Fortigateでssl-vpn接続時にAD認証する

○やりたいこと

FortigateにSSL-VPN接続する時にAD認証して、LAN配下の端末にping、ファイル共有、リモートデスクトップする
AD連携以外の設定はここ
https://qiita.com/KINAKO_OMOCHI/items/77aeb30edb91d0a0f988

○結果

やりたいことはできた。
wIRESHARKでパケットキャプチャとってLDAP認証していること確認

○NW環境

これ参照　プラス新規でWIN10PROにHYPER-V上にWIN SER2019 AD2016
https://qiita.com/KINAKO_OMOCHI/items/77aeb30edb91d0a0f988

○Active Directryの設定

デフォルト　ユーザーひとつ作成

○Fortigateの設定

これ参照　SSL-VPN設定はこの記事参照
https://qiita.com/KINAKO_OMOCHI/items/77aeb30edb91d0a0f988
hostsファイルにADとIP記載。
名前解決する必要ないからいらないと思うけど念のため。

ここら辺参考
ADのユーザーで全般のdisplayname変更。CNに変更。
•technical tip;username format for ldap authentication
FortigateはADのどのオブジェクトを参照してんの？
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Username-format-for-LDAP-authentication/ta-p/216481
•Troubleshooting-Tip-Possible-reasons-for-FortiClient-SSL-VPN
48%のエラー 2段階認証で失敗していた。LDAPの認証の結果はWireSharkで確認できる
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Possible-reasons-for-FortiClient-SSL-VPN/ta-p/211965
•ADのcnってなに
CN common name
古いWindowsにログインするときに使うログイン名
これを指定していたからAD認証失敗したのか？新たにユーザー作って確認
https://learn.microsoft.com/ja-jp/windows/win32/ad/naming-properties
•ADのCNとは
Common name オブジェクトの名前
https://learn.microsoft.com/ja-jp/windows/win32/ad/group-objects

○ハマったこと

Forticlientの接続エラー「Permission denied(-455)」が発生。
〇ad連携失敗　状況
•ADの名前解決ができなかった。考えるの面倒なのでIPv6をオフにした。
•Forticlientのステータス48%で失敗する。ForticlientのエラーメッセージPermission denied. (-455)
→AD認証で失敗していた。詳細はFortigate設定の公式のURL。FortiのLDAP設定でコモンネーム識別子
をsAMAccountNameからcnにした。

→ADのユーザーログオン名を追加した。

これに書いてある通り。設定見返してみるとADのDisply名が空欄になっている。書いてあることと違うけど、SSLVPN接続が成功していてWireSharkも成功している。なぜだろうか。
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Username-format-for-LDAP-authentication/ta-p/216481

•FortigateのAD連携のテストは成功

○今後の環境作るときの注意点

できるだけ公式ドキュメントを参考にする。何故このフィールドにはこの値を入力するのかなどが詳しく書いてある。エラー遭遇時の対応方法も。

参考にさせていただいた記事。ありがとうございました。

○Fortigate関連
ADのユーザーで全般のdisplayname変更。CNに変更。
•technical tip;username format for ldap authentication
FortigateはADのどのオブジェクトを参照してんの？
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Username-format-for-LDAP-authentication/ta-p/216481
•Troubleshooting-Tip-Possible-reasons-for-FortiClient-SSL-VPN
48%のエラー 2段階認証で失敗していた。LDAPの認証の結果はWireSharkで確認できる
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Possible-reasons-for-FortiClient-SSL-VPN/ta-p/211965
•ADのcnってなに
CN common name
古いWindowsにログインするときに使うログイン名
これを指定していたからAD認証失敗したのか？新たにユーザー作って確認
https://learn.microsoft.com/ja-jp/windows/win32/ad/naming-properties
•ADのCNとは
Common name オブジェクトの名前
https://learn.microsoft.com/ja-jp/windows/win32/ad/group-objects
•IPA TLSについて　
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.0.1.pdf

○AD関連
https://it.senet.blog/network/fortigate/622/
•AD概要
https://www.lanscope.jp/blogs/it_asset_management/20190315_12638/
•windows11 home Hyper-vのインストール
https://jo-sys.net/win11home-hyperv/
•Hyper-vにwindows serverを構築する
https://qiita.com/carol0226/items/53ef3c6bc9948a2b79f9
↓下の記事では　Windows11開発環境　というOSをインストールしている。Enterpriseがインストールされる？簡単そうだがよくわからなかったので、気が向いたらやってみる。
•https://jo-sys.net/win11-vos/
ファイルサーバーアクセス権
•https://www.manageengine.jp/products/ADManager_Plus/active-directory-file-permissions-management.html

○その他

この記事あとから見返してもFortigateでssl-vpn接続時にAD認証できないだろうな。
かっちり書きすぎるとめんどうなんだけど、雑にまとめるとあとから見ても意味わからんだよな。自分用にかいてんだけども。。。めんどくささと分かりやすさのバランスみてやっていく

公式サイト
IPA
https://www.ipa.go.jp/index.html
Fprtigate
https://docs.fortinet.com/document/fortigate/5.4.0/cookbook/797369/802-1x-with-vlan-switch-interfaces-on-a-fortigate#802.1X_with_VLAN_Switch_interfaces_on_a_FortiGate