- Настройте пользователя LDAP:
- Перейдите в User & Authentication > LDAP Servers и нажмите Create New.
- Укажите имя и IP/имя сервера.
- Укажите Common Name Identifier и Distinguished Name.
- Установите Тип привязки на Обычный.
- Укажите имя пользователя и пароль.
- Включите Безопасное соединение и установите Протокол LDAPS.
- Для сертификата выберите из списка LDAP-сервер CA LDAPS-CA.
- Перейдите в раздел User & Authentication → User Groups, чтобы создать группу пользователей.
- Введите имя.
- В Remote Groups нажмите Add, чтобы добавить ldaps-server.
- Перейдите в раздел VPN > SSL-VPN Portals для редактирования портала полного доступа. Этот портал поддерживает как веб, так и туннельный режим.
- Отключите Enable Split Tunneling, чтобы весь трафик SSL VPN проходил через FortiGate.
- Перейдите в VPN → SSL-VPN Settings.
- Выберите интерфейс (интерфейсы) Listen on Interface(s), например wan1.
- Установите Listen on Port на желаемый.
- Установите Server Certificate на сертификат аутентификации.
- В разделе Authentication/Portal Mapping установите веб-доступ к порталу по умолчанию для All Other Users/Groups.
- Создайте новый Authentication/Portal Mapping для группы ldaps-group mapping portal full-access.
- Перейдите в Policy & Objects > Firewall Policy.
- Заполните имя политики брандмауэра.
- Входящий интерфейс должен быть туннельным интерфейсом SSL-VPN (ssl.root).
- Установите для Source Address значение all, а для Source User - ldaps-group.
- Установите Outgoing Interface на интерфейс локальной сети, чтобы удаленный пользователь мог получить доступ к внутренней сети.
- Установите Destination Address на внутреннюю защищенную подсеть 192.168.1.0.
- Установите Schedule на always, Service на ALL, а Action на Accept.
- Включите NAT.
- Настройте остальные параметры брандмауэра и безопасности по желанию.
- Нажмите OK.