免責事項
※当社からお知らせするセキュリティ情報は公開当時当社が知り得た情報を元に配信しております。そのため、情報の網羅性について保証せず、当社から配信された情報を用いて利用者が行った行為について、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。
SSL-VPN接続をするユーザグループ毎に異なるアクセス権を割り当てる方法
デフォルトではないユーザグループに属するユーザのSSL-VPN接続を許可してかつユーザ
グループ毎にアクセスの制御を行いたい場合、セキュリティポリシーの設定を含む以下の
設定が必要となります。
・IPアドレスレンジ
FortiGateがトンネルクライアントに割り当てるユーザグループ毎の重複しないIPアドレ
スレンジを設定します。
・ウェブポータルの設定
ユーザグループ毎に異なるアクセス許可を設定するために、ユーザグループ毎にウェブ
ポータルを設定(追加)します。
・認証ルールの設定
ユーザグループとウェブポータルを関連付けます。
・セキュリティポリシーの設定
SSL-VPNトラフィックを許可するセキュリティポリシーをグループ毎に設定します。
※アクセスの制御を必要とされない場合には、新しく作成したユーザもしくはユーザ
グループを既存のセキュリティポリシーに追加するのみで結構です。
以下が設定例となりますので、ご参考にしていただければと存じます。
なお、これら設定は弊社サポート範囲の対象外となりますため、設定例につきましては
ご参考のための情報とご認識いただければ幸いです。
また、ご質問をいただいた場合には、回答までにお時間がかかる場合がございますので、
ご了承いただけますようお願いいたします。また、お客様設定に起因する通信不具合か
らの復旧や設定に関するご質問に関しましても営業時間外でのご案内ができかねますの
で、設定変更等のタイミングにご留意ください。
※現在の設定内容は考慮しておりませんので、デフォルトから変更されている場合は、
適宜読み替えをお願いいたします。
※目的に応じて、既存の設定を変更し、不足する設定のみ追加していただくことも可能
です。
※設定途中に既存のSSL-VPN接続が不能とならないように、設定内容と手順にご留意くだ
さい。(FortiGateへのアクセスができなくなります)
※設定前に現在の設定コンフィグのバックアップを取得されることをお勧めいたします。
■トンネルクライアントに割り当てるIPアドレスレンジの設定
SSL-VPN接続するユーザ/グループに割り当てるお互いに重なり合わないIPアドレスレ
ンジを複数定義します。例として Tunnel_group1 と Tunnel_group2 を作成します。
※今回は、Tunnel_group1 が 既存、Tunnel_group2 が新しく作成したユーザグループ
に相当します。
1) Policy & Objects > Addresses に移動します。
2) 対象となるSSL-VPNクライアントに割り当てるIPアドレスを検討して決定します。
(基本的には、デフォルトのSSLVPN_(お客様識別子)で使用しているアドレスを分
割してご利用ください。この場合には後述のスタティックルートの設定は不要で
す)
3)Create Newをクリックします。
4) 下記設定をします。(任意の項目もありますが、下記項目以外はデフォルトのまま
でも問題ありません)
Name (任意の名前 例 Tunnel_group1)
Subnet/IP Range ((2)で決めたアドレス範囲)
5) OKボタンを押します。
同様の手順で、Tunnel_group2 を作成します。
必要に応じて、アクセスを許可する対象ホストの宛先アドレス/アドレスレンジも定義
しておきます。
■SSL-VPN ウェブポータルの設定
SSL-VPN接続するユーザ/グループに適用する、SSL-VPN ウェブポータルを複数作成
(もしくは既存設定を編集)します。
1) VPN > SSL-VPN Portalに移動します。
2) [+ Create New]アイコンをクリックします
3) 下記設定をします。(任意の項目もありますが、下記項目以外はデフォルトのまま
でも問題ありません)
Name (任意の名前 例)Portal1)
Tunnel Mode Enable
Enable Split Tunneling Disable
Source IP Pools 前述で定義したIPアドレス (例 Tunnel_group1)
4) OKボタンを押します。
同様の手順で、Portal2を作成します。
後述の手順で、作成したウェブポータルとユーザ/グループを関連付けます。
■認証ルールの設定
1) VPN > SSL-VPN Settings に移動します。
2)Authentication/Portal Mapping セクションにある、Create Newをクリックします。
3) 下記設定をします。(任意の項目もありますが、下記項目以外はデフォルトのまま
でも問題ありません)
User/Groups Group1
Portal Portal1
4) OKボタンを押します。
5) 同様に下記設定をします。
User/Groups Group2
Portal Portal2
■セキュリティポリシーの設定
・SSL VPN セキュリティポリシーを作成します。
1) Policy & Objects > IPv4 Policyに移動します。
2) Create Newをクリックします。
3) 下記設定をします。(任意の項目もありますが、下記項目以外はデフォルトのまま
でも問題ありません)
Incoming Interface ssl.(お客様識別子)
Source Address ALL
Source User Group1
Outgoing Interface VLAN-XXXXDS (LAN側インターフェース)
Destination Address (アクセスを許可する対象ホストのアドレス/アドレスレンジ)
※必要に応じてFortiGate GUIアドレス
Service ALL
NAT Enable
4) OKボタンをクリックします。
同様の手順で、Group2 を許可するポリシーを作成します。
・トンネルモードのセキュリティポリシーを作成します。(トンネルモードを使うために
必要です)
1) Policy > Policy > Policyに移動します。
2) Create Newをクリックします。
3) 下記設定をします。(任意の項目もありますが、下記項目以外はデフォルトのまま
でも問題ありません)
Incoming Interface ssl.(お客様識別子)
Source Address Tunnel_group1
Source User Group1
Outgoing Interface VLAN-XXXXDS (LAN側インターフェース)
Destination Address (アクセスを許可する対象ホスト)
※必要に応じてFortiGate GUIアドレス
Service ALL
Action Enable
Enable NAT Enable
4) OKボタンをクリックします。
同様の手順で、Group2 を許可するポリシーを作成します。
※インターネットと通信が必要な場合には、アウトバウンドのトラフィックを許可する
ポリシーも作成します。
■スタティックルート設定
(SSL-VPNクライアントに割り当てるIPアドレスレンジをデフォルト範囲から変更される
場合に必要です)
トンネルモードクライアントへの戻りパケットが SSL-VPNトンネルを通るように、スタ
ティックルートを設定します。
1) Router > Static > Static Routes に移動します。
2)Create Newをクリックします。
3) 下記設定をします。
Destination IP 10.246.XXX.XXX (SSL-VPNポータルで指定したレンジ)
4)Device ssl.(お客様識別子)
これらを設定後に、意図したアクセスができることと許可していないアクセスができな
いことを確かめて、設定に問題がないことを確認します。
