Fortinet商品など
FortiGateのLDAP認証について
FortiGateのLDAP認証は、企業ネットワークでユーザー認証を一元管理する際に非常に便利な機能です。
Active Directory(AD)などのLDAP(Lightweight Directory Access Protocol)サーバーと連携させることで、FortiGateのファイアウォール機能、VPN、SSL-VPN、Wi-FiアクセスなどにLDAPアカウントを利用して認証できます。
FortiGateのLDAP認証とは?
FortiGateがLDAPサーバーと通信し、ユーザーのID・パスワードを検証することで、FortiGate配下のサービス(SSL-VPNや管理画面、Wi-Fiなど)に対して、ADなどのLDAPユーザーアカウントを用いてログインできるようにする仕組みです。
FortiGate LDAP認証の主な利用用途
- SSL-VPNログイン
- 社外から社内ネットワークへの安全な接続にLDAPアカウントを使う。
- Wi-Fi認証
- 無線LANアクセスポイントとFortiGateを連携させ、LDAPユーザーによるWi-Fiログインを実現。
- 管理者認証
- FortiGateのGUIやCLIへの管理者ログインにLDAP認証を使用。
- Webフィルタリングポリシー
- LDAPのグループ情報を使って、ユーザー単位または部署単位で異なるインターネット制限を適用。
FortiGateでのLDAP認証設定手順(概要)
以下は、FortiGateでActive Directory(LDAP)と連携させる一連の流れです。
LDAPサーバーの基本情報を収集
- サーバーのIPアドレスまたはFQDN
- ベースDN(Base Distinguished Name):検索の出発点(例:
DC=example,DC=local) - バインドDN(Bind DN)とパスワード:検索に使う認証済みアカウント(例:
CN=ldap-user,CN=Users,DC=example,DC=local) - ポート番号:
- 通常LDAP:389(平文)
- LDAPS:636(SSL/TLS)
FortiGateでLDAPサーバーの設定
FortiGate GUIの手順(例:FortiOS 7.x系)
[User & Authentication] → [LDAP Servers] → [+Create New]
- Name:任意の名前
- Server IP/Name:LDAPサーバーのIPまたはFQDN
- Common Name Identifier:通常は
sAMAccountName - Distinguished Name:
DC=example,DC=localの形式 - Bind Type:通常は「Simple」
- Username:LDAPのバインドユーザー(例:
CN=ldap-user,CN=Users,DC=example,DC=local) - Password:そのユーザーのパスワード
- Secure Connection:必要に応じてLDAPSを選択
[Test Connectivity]ボタンで接続テストを行うことが可能です。
ユーザーグループの設定
[User Groups] → [+Create New]
- Type:Firewall
- Name:任意の名前
- Members:作成したLDAPサーバーを追加し、必要に応じてLDAPのグループ(例:
CN=VPNUsers,OU=Groups,DC=example,DC=local)を指定
ポリシーやVPNにLDAP認証を適用
- SSL-VPNやWi-Fi、管理GUIに対して、上記のユーザーグループを使用するよう設定。
補足:LDAP認証のテスト方法
CLIで以下のコマンドを使って、認証テストができます。
diagnose test authserver ldap <ldapサーバー名> <ユーザー名> <パスワード>
例
diagnose test authserver ldap AD_Server johndoe password123
成功すれば、FortiGateからLDAPサーバーへの通信と認証が正常であることが確認できます。
よくあるトラブルと対処法
| 問題 | 原因 | 解決策 |
|---|---|---|
| 認証に失敗する | Bind DNが間違っている | ADの[属性エディター]などで正しいDNを確認 |
| グループが読み込まれない | OUやグループ名が不一致 | グループのフルDNを指定、OUの階層に注意 |
| 接続できない | ファイアウォールでLDAPポートがブロック | FortiGateとADの間でTCP 389または636を開放 |
| LDAPS接続できない | サーバー証明書の問題 | サーバー証明書が正しくインストールされているか確認 |
FortiGateでLDAP認証を導入するメリット
- 一元管理:ユーザーアカウントの追加・削除をLDAP側だけで一括制御。
- セキュリティ強化:グループベースのアクセス制御やMFAとの連携が容易。
- 運用効率化:FortiGateへの管理者追加が不要になる。
応用設定:LDAP+二要素認証(MFA)
FortiGateでは、LDAP認証に加えてFortiToken(OTP)による多要素認証も組み合わせられます。
以下のような構成が可能です。
- LDAPユーザー認証
- FortiTokenまたはメールベースOTPを使用
- ログイン完了
まとめ
FortiGateのLDAP認証を活用することで、以下のような企業ネットワークのセキュリティと運用性が飛躍的に向上します。
- ユーザー認証の統合(VPN・Wi-Fi・管理)
- LDAPグループとの連携で柔軟なアクセス制御
- FortiTokenとの組み合わせでMFAも実現可能
LDAP連携は一見複雑ですが、一度設定してしまえば非常に強力なツールになります。
以上、FortiGateのLDAP認証についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
