FortiGate の VPN 接続にメールを組み合わせた二要素認証を設定する
最近、周辺の企業でサイバー攻撃を受けたという話をよく聞きます。
少しでも安全かつ安く使いたいということで、FortiGate の VPN 接続を通常の「ユーザー ID + パスワード」に加えてメールを使ったワンタイムパスワードによる二要素認証を設定します。 FortiGate では、二要素認証にいくつかの方法が選択できるようですが、メールを使った方法は費用発生なく使用できます。
今回、 FortiGate を初めて触りましたが CLI が必要な部分があるものの、わかりやすい UI でした。
環境:
- v6.4.7 build1911
SMTP サーバーの設定
ブラウザから FortiGate へログインします。
画面左のメニューから [システム] - [設定] をクリックします。
画面右の表示から「E メールサービス」の項目を探し、メールの送信設定を行います。
メールサーバーの環境に合わせて設定を行いますが、ここでは SMTP 認証を行うよう「認証」を ON にしてユーザー名とパスワードを設定しました。また、セキュリティモードは「STARTTLS」を選択しています。
メールを使った二要素認証の設定
設定済みのユーザーを確認すると二要素認証の設定はできるようですが認証タイプにメールが表示されません。
そういう仕様のようですので、 CLI から次のように入力して設定を行っていきます。
# config user local
# edit [設定したいユーザ名]
# set two-factor email
# set email-to [ワンタイムパスワードを送るメールアドレス]
# end
正しく入力すると、 GUI のユーザー設定画面で二要素認証が有効になっており、入力したメールアドレスが設定されていることを確認できます。
以上で設定は完了です。
FortiClient VPN から、ユーザー ID とパスワードを入力して接続をするとトークンの入力を求められるようになります。
設定したメールアドレスに送られてきた認証コードを入力することで接続できるようになりました。