FortiNetがFortiClient 7.2.4にこの機能をこっそり追加しているようです。7.2.4のFortiClientやEMSのリリースノートには記載されていませんが、FortiGateの新機能ドキュメントに掲載されています。
FCT 7.2.4+ (まだFCTのリファレンスなし)
関係のないものを探している途中で"ike-saml-server"設定に気づいたが、それに関するドキュメントは見つからなかった。良い方向に向かっているのは確かだ。
ただし、いくつか質問もあります。
- authdの表面積はどれくらいですか?sslvpndより少ないはずですが、一本の薪を別のに変えているだけでしょうか?
- ループバックで待ち受けて、それを利用してsslvpndのようにauthdを保護できますか?多分そうだと思いますが、試してみる必要があります。
素晴らしいですね。IPsecを検討しなかった主な理由はSAMLの欠如でした。
FortiAuthenticatorのみの言及しか見つかりません。O365のような任意のSAMLサービスを使用可能だと考えていますか?
FortiGateのauthdデーモンはメモリ安全なプログラミング言語で書かれていますか?
authdにおいてsslvpndと同じ脆弱性が見られる可能性はありますか?
これらは重要な質問です!
この機能が追加されるのを長い間待っていました。本当に素晴らしいニュースです。
この件に対する素早いリバイバル - これを動かしていますか?
認証の壁にぶつかっています。SAMLは通過しますが、AUTHDは通過せず、FNBAMDがログオンを拒否します。エラー内容が理解できません。
[1616] fnbam_user_auth_group_match-req id: 1922809136, server: fw01-ipsec-saml, local auth: 0, dn match: 0
[1585] __group_match-Group 'sg-vpn-daily’はグループマッチングに成功
[1588] __group_match-追加された一致グループ『sg-vpn-daily』(2)
[1949] handle_req-グループマッチング成功
[1454] fnbamd_auth_handle_radius_result–> radiusサーバー’eap_proxy’ 127.0.0.1(1)の結果は0
[1479] fnbamd_auth_handle_radius_result-サーバー『fw01-ipsec-saml』を用いたRADIUS認証は成功
[1616] fnbam_user_auth_group_match-req id: 1922809135, server: fw01-ipsec-saml, local auth: 0, dn match: 0
[280] find_matched_usr_grps-グループマッチング失敗