嘉の札兩

既然完成了 Fortigate 設定 SMTP 為 Gamil 的設定後，郵件測試也都可收到測試郵件，接下來要啟用雙因素認證(也有人稱二階段認證)，先來設定管理者登入的雙因素認證與 Fortitoken 的綁定。 Fortigate WebUI > 系統管理 > 系統管理員 > 欲開啟 Fortitoken 的管理者帳號 > 編輯 勾選 ”雙因素認證” Token 選擇其中一個 未使用的即可 送出啟用碼：啟用，並選擇 ”電子郵件”，確認都無誤後 > “確定” 之後，回到 Gamil 中，便會看到 Fortigate 寄過來的郵件，會有附加一個圖檔，此圖檔為 QR Code 的圖片檔，可先打開此圖檔，等等用 app 內的相機掃描讀取即可。 於手機中開啟 FortiToken app，畫面中的右上角的 “＋” 來新增一個 FortiToken 下方有個 “Scan Barcode” 按鈕，便會開啟相機，便可掃描該 QR Code App 會自動增加這個 token，點選 “>”，可幫該 token 重新命名，可以改成自己看得懂名稱，方便日後識別，像是我改成 “FG50E-D1B7” 這時，回到 Fortigate WebUI > 用戶與設備 > FortiToken，可看到 D1B7 結尾的 token 狀態成為 “已分配”，同時分配給 wangjia 這個帳號！ 之後，重新開一個 Fortigate Web 登入畫面，再敲入帳號密碼之後，就會出現 Token 欄位～ 這時，回到手機上 FortiToken app 上，就會顯示 token 六位數字代碼，正確的輸入到 Token 欄位就能完成登入了！ 恭喜！這時就完成了 雙因素認證了！只是每次登入都要再查看手機，然後點開 FortiToken app，再回到電腦前面輸入 token 代碼，這樣的過程是否可再簡化呢？ 有的！！繼續看下去吧～～ 接下來，再從 Fortigate 上調整新增幾個參數，等等雙因素認證使用起來會更為便利！打開 Fortigate 的 CLI 方式，輸入以下的指令(只能從 CLI 啟用) config system ftm-push set server-ip < 你的WAN-IP > s

這幾天突然想到，FG50E 內建有兩個 Fortitoken，一個拿來做管理者登入的 二階段認證 。另一個應該可以拿去做 SSLVPN 登入的 二階段認證 。這點子真不錯，但要實作 FortiKoten 的話，必須要先設定 SMTP server，想想那就直接用 Google Gmail 好了，很高興地直接設定上去~~ 然後使用以下指令，發現我根本都沒有收到任何信件阿…… 🤣 🤣 🤣 diagnose log alertmail test 突然想到，現在 Google 都強制要做二階段認證了，是不是這個部分導致無法直接把帳號密碼敲到 FortiGate 設定上？果然， Fortinet 的 KB 就有這樣的說明了。底下就依照 Fortinet 的 KB 繼續做下去吧~ 首先要先到 Google 應用程式密碼 網站(要確認自己登入的 Google 帳號，且是已啟動二階段認證的帳號) 應用程式名稱：打個自己看得懂的，然後無誤之後，點選”建立” 這時，產生的密碼請記好！倘若忘記了/不見了，就只能重新產生另組的密碼！ 將上一步驟得到的 Google應用程式密碼，貼上在密碼欄位(預設只有 16 個字元，直接複製的記得刪除多餘的空白字元！) 安全模式：選擇 “ STARTTLS ”，確認都無誤後，點選”套用” 再使用 diagnose log alertmail test 指令測試一下，這時就會看到確實有收到 測試的告警信件！ 這樣就完成了 FortiGate 上 SMTP 的設定了！後續需要在 管理介面或 VPN登入時，就可直接啟用 二階段認證 了！