リモートアクセスVPN-パスワード認証

文書更新日:2025-03-09

目的

SingleIDのユーザで、FortiGateへVPNを使ってリモートアクセスします。
接続する際の認証方式は、パスワードです。
SingleIDの拡張RADIUSサーバを利用します。
ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

SingleID 管理者ポータル＞グループ画面へ移動します。
グループ追加をクリックします。グループ追加画面がポップアップします。
グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

SingleID 管理者ポータル＞ユーザ画面へ移動します。
登録ボタンをクリックします。ユーザ登録画面がポップアップします。
ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDの拡張RADIUSサーバの登録

SingleID 管理者ポータル＞認証＞RADIUS＞基本設定タブへ移動します。

拡張RADIUSサーバ＞RADIUSポート番号の登録ボタンをクリックします。拡張RADIUSサーバの登録画面がポップアップします。

設定項目	設定内容
使用するプロトコル	UDPを選択します。
シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

登録ボタンをクリックします。専用のRADIUSポート番号が割り当てれます。

SingleIDのRADIUSサイトの登録

SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定タブへ移動します。
カタログ表示ボタンをクリックします。
カタログからFortiGate NGFWの登録ボタンをクリックします。FortiGate NGFW画面がポップアップします。

基本情報タブに、以下を設定します。

設定項目	設定内容
有効/無効	有効を選択します。
サーバ	拡張を選択します。
サーバ番号	SingleIDの拡張RADIUSサーバの登録で登録したサーバ番号を選択します。
サイト識別する属性	NAS-Identifierを選択します。
属性値	任意の文字列を設定します。（例：fortigate）

VPNアクセスの認証タブへ移動します。
許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。
登録ボタンをクリックします。

FortiGateのRADIUSサーバの設定

FortiGate 管理GUI＞ユーザ＆認証＞RADIUSサーバ画面へ移動します。
新規作成ボタンをクリックします。新規RADIUSサーバ設定画面が表示されます。

以下を設定します。

設定項目	設定内容
名前	任意の文字列を設定します。（例：SingleID_RADIUS）
プライマリサーバ
IP/名前	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの拡張RADIUSサーバ＞IPアドレスのプライマリです。
シークレット	SingleIDの拡張RADIUSサーバの登録の手順のシークレットに設定した文字列です。
セカンダリサーバ
IP/名前	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの拡張RADIUSサーバ＞IPアドレスのセカンダリです。
シークレット	SingleIDの拡張RADIUSサーバの登録の手順のシークレットに設定した文字列です。

Info

接続をテストボタンをクリックし、接続が成功しない場合には、以下をご確認ください。

設定内容が間違いないこと
FortiGateからSingleIDのRADIUSサーバのIPアドレスへ接続可能であること

Warning

SingleIDのRADIUSサーバでは、FortiGateのVPNアクセスや管理アクセスのみ認証可能となるように制限をかけているため、ユーザクレデンシャルをテストボタンをクリックし、正しいユーザ情報を入力しても成功となりませんが、問題ではありません。

OKボタンをクリックします。
FortiGateのRADIUSのNAS-Identifierの属性値を変更するために、FortiGate 管理GUI＞システム＞設定画面へ移動します。以下のように設定します。

設定項目 設定内容

ホスト名 SingleIDのRADIUSサイトの登録の手順のサイトを識別する属性の属性値に設定した文字列です。（例：fortigate）

Info

FortiGateは、ホスト名をRADIUSのNAS-Identifier属性の属性値として、RADIUSリクエストを送信します。

FortiGateのRADIUSの認証通信ポートを変更するために、FortiGate CLIから以下のように設定します。

設定項目	設定内容
RADIUSサーバの名前	手順3で設定した名前です。（例：SingleID_RADIUS）
RADIUS認証の通信ポート番号	SingleIDの拡張RADIUSサーバの登録の手順で割り当てられたポート番号です。SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの拡張RADIUSサーバ＞RADIUSポート番号です。

FortiGate CLI

config user radius
    edit "<RADIUSサーバの名前>"
        set radius-port <RADIUS認証の通信ポート番号>
    next
end

FortiGateのユーザグループの設定

FortiGate 管理GUI＞ユーザ＆認証＞ユーザグループ画面へ移動します。
新規作成ボタンをクリックします。新規ユーザグループ画面が表示されます。

以下を設定します。

設定項目	設定内容
名前	任意の文字列を設定します。（例：SingleID）
タイプ	ファイアウォールを選択します。
リモートグループ	リモートサーバ：FortiGateのRADIUSサーバの設定の手順で設定したサーバの名前です。（例：SingleID_RADIUS）　グループ：いずれかを追加します。

OKボタンをクリックします。

FortiGateのVPNの設定

FortiGate 管理GUI＞VPN＞IPsecウィザード画面へ移動します。

以下の項目を設定し、次へボタンをクリックします。

設定項目	設定内容
名前	任意の文字列を設定します。（例：IPsecVPN）
テンプレートタイプ	リモートアクセスを選択します。
リモートデバイスタイプ	クライアントベース　FortiClientを選択します。

以下の項目を設定し、次へボタンをクリックします。

設定項目	設定内容
着信インターフェース	FortiGateのWAN側のインターフェースです。環境により異なります。
認証方式	事前共有鍵を選択します。
事前共有鍵	任意の文字列を設定します。
ユーザグループ	FortiGateのユーザグループの設定の手順で設定したユーザグループの名前を選択します。（例：SingleID）

以下の項目を設定し、次へボタンをクリックします。

設定項目	設定内容
ローカルインターフェース	FortiGateのLAN側のインターフェースです。環境により異なります。
ローカルアドレス	LAN側ネットワークを指定します。（例：internal）
クライアントアドレス範囲	VPNクライアントに割り当てるIPアドレスの範囲です。環境により異なります。
サブネットマスク	255.255.255.255を設定します。

次へボタンをクリックします。
設定を確認し、作成ボタンをクリックします。

動作確認方法

Windows端末からパスワードによるリモートアクセスVPNの認証が可能なことを確認します。

リモートアクセスクライアントのインストール

FortiGateのリモートアクセスクライアントである、FortiClientをインストールしていない場合には、以下よりダウンロードしてインストールします。

ダウンロード

接続先の設定

FortiClientを起動して、新規VPN接続を作成します。以下を設定します。

設定項目	設定内容
VPN	IPsecVPNを選択します。
接続名	任意の文字列を設定します。（例：SingleID）
リモートGW	VPNクライアントが接続するIPアドレスです。
認証方法	事前共有鍵を選択します。
事前共有鍵	FortiGateのVPNの設定の手順で設定した事前共有鍵です。
認証（XAuth）	ユーザ名入力を選択します。

保存ボタンをクリックします。

VPN接続

以下を設定し、接続ボタンをクリックします。

設定項目	設定内容
VPN名称	接続先の設定の手順で作成した接続先を選択します。（例：SingleID）
ユーザ名	SingleIDのRADIUSサイトの登録の手順で許可したユーザです。
パスワード	ユーザのパスワードです。

ログインが成功することを確認します。