Fortigate 管理者&VPN 登入啟用 雙因素(二階段)認證

既然完成了 Fortigate 設定 SMTP 為 Gamil 的設定後,郵件測試也都可收到測試郵件,接下來要啟用雙因素認證(也有人稱二階段認證),先來設定管理者登入的雙因素認證與 Fortitoken 的綁定。

Fortigate WebUI > 系統管理 > 系統管理員 > 欲開啟 Fortitoken 的管理者帳號 > 編輯
勾選 ”雙因素認證”
Token 選擇其中一個 未使用的即可
送出啟用碼:啟用,並選擇 ”電子郵件”,確認都無誤後 > “確定”
Fortigate User enable 2FA

之後,回到 Gamil 中,便會看到 Fortigate 寄過來的郵件,會有附加一個圖檔,此圖檔為 QR Code 的圖片檔,可先打開此圖檔,等等用 app 內的相機掃描讀取即可。
FTM Activation on FortiGate

於手機中開啟 FortiToken app,畫面中的右上角的 “+” 來新增一個 FortiToken
下方有個 “Scan Barcode” 按鈕,便會開啟相機,便可掃描該 QR Code
FortiToken Scan Barcode

App 會自動增加這個 token,點選 “>”,可幫該 token 重新命名,可以改成自己看得懂名稱,方便日後識別,像是我改成 “FG50E-D1B7”
FortiToken Rename

這時,回到 Fortigate WebUI > 用戶與設備 > FortiToken,可看到 D1B7 結尾的 token 狀態成為 “已分配”,同時分配給 wangjia 這個帳號!
FortiToken assigned

之後,重新開一個 Fortigate Web 登入畫面,再敲入帳號密碼之後,就會出現 Token 欄位~
WebUI Login with FortiToken

這時,回到手機上 FortiToken app 上,就會顯示 token 六位數字代碼,正確的輸入到 Token 欄位就能完成登入了!

恭喜!這時就完成了 雙因素認證了!只是每次登入都要再查看手機,然後點開 FortiToken app,再回到電腦前面輸入 token 代碼,這樣的過程是否可再簡化呢?有的!!繼續看下去吧~~


接下來,再從 Fortigate 上調整新增幾個參數,等等雙因素認證使用起來會更為便利!打開 Fortigate 的 CLI 方式,輸入以下的指令(只能從 CLI 啟用)

config system ftm-push
set server-ip <你的WAN-IP>
set status enable
end

config system ftm-push :設定 FortiToken Mobile Push 服務的相關設定
set server-ip:建議輸入 wan 端的固定IP,倘若 FOS 版本是 6.4.9 之後,可用 server <WAN的 DNS名稱>,這部分就可以結合 DDNS 的方式來完成
set status:輸入 enable,啟用 FortiToken Mobile push 服務
enable FTM push

開啟 ftm-push 服務後,我們需要在介面下允許 ftm 的服務

set allowaccess ftm

allow FTM on WAN

或可從 WebUI > 網路 > 介面 > 找到要讓 FTM 服務進來的介面,管理存取這邊 勾選 ”FTM“,確定
enable FTM on WAN

再開個 WebUI,輸入帳號密碼登入,來驗證 FTM 結果
通知有個 Login Request,點選 “Apporve” 接受
FortiToken Push message

或是下拉通知欄,FortiToken 會顯示更詳細的資訊,確認無誤就”批准“
FortiToken Push message

甚至點選該 FortiToken 的通知,會有更清楚的畫面,確認無誤便 “Approve” 吧
FortiToken Push message

確認成功登入,FTM 會將此訊息送出,這時,會神奇地發現不用輸入 token 代碼,就成功登入到 WebUI 了!
FortiToken Push message approved
FortiToken Push message approved

甚至連 SSH 登入的時候,也是不用輸入 token 代碼,就會登入到 # 之下
SSH with enable 2FA

而 VPN 的部分也很簡單,唯一要注意的是用戶的資料內一定要填寫電子郵件,才能夠正確地把啟用碼寄給該使用者。
VPN user enable 2FA

啟用雙因素認證的功能,是為了增加安全性!同時,再開啟 FTM 是不是更加便利些呢!!

這個網誌中的熱門文章

開箱 小米經典商務雙肩包

圖片
工作用的背包一直是使用 Targus TSB163AP 巨無霸商旅後背包 V2   ( PChome )這個背包 雖然容量很大,但老實說也越來越覺得很重 因為背包太大了,常常無所忌憚的一直越塞越多 看到了 小米的經典商務雙肩包 ,突然有想要把背包輕量化 加上價格真的是很便宜,只要新台幣 495 元而已 那就來開箱吧...
閱讀完整內容

VirtualBox 橋接介面卡 未選取/無法選取 故障排除

圖片
之前在尋找 Android 模擬器的時候,除了測試過 MOMO 模擬器 之外,也有測試過 夜神模擬器 MOMO模擬器安裝完後,測試 VirtualBox 中的 VM 確實是可以跑的,沒有什麼狀況 但在測試夜神模擬器之後,VirtualBox 中的 VM 就出現狀況了,竟然無法啟動 VM 嘗試過把 VirtualBox 重新安裝或修復,仍然無法解決問題,一樣會出現這樣的畫面!! 打開 VM 的設定,發現 "網路" 中的橋接介面卡,都無法選取任何的網路卡,可以確定的是實體的網路卡是沒有問題的,因為這台電腦仍舊可以上網! 後來找到原因,是因為這張網路卡中,Virtual 橋接用的服務消失了,導致 VirtualBox 無法正常的使用這張網路卡,依照以下的方式將所缺的服務增加到網路卡介面中。 打開 "控制台" > "網路和網際網路" > “網路和共用中心" > "變更介面卡設定" ,找到 VM 中使用的網路卡,阿嘉的電腦是使用 "乙太網路",對著 "乙太網路" 右鍵 > "內容" 如果 "這個連線使用下列項目" 中,沒有看到 "VirtualBox Bridge Network" 等字眼的項目的話,就是缺少了!點選 "安裝" 選擇 "服務" > "新增" 點選 "從磁片安裝" VirtualBox 的目錄底下會有個 driver 的目錄,裡面會有橋接網路介面卡的驅動程式,像是阿嘉用預設的 VirtualBox 安裝路徑,C:\Program Files\Oracle\VirtualBox\drivers\network\netlwf 的目錄中,會有個 VBoxNetLwf.inf 檔案,這個就是 VirtualBox 使用網路橋接介面卡的驅動程式 找到這個 VBoxNetLwf.inf 檔案,點選 "開啟" 這時會看到,要新增一個 "VirtualBox …Bridged Networking…” 的服務,點選 "確定" 來新增吧
閱讀完整內容

線上看 CAD 圖檔 DWG, DWF 的網站

圖片
偶爾需要看 AutoCAD 圖檔,但又不想要裝 DWG Viewer 尤其 AutoDesk 自己的 DWG TrueView 目前只有支援 Windwos 系統 尚未看到有支援的,免費的 MAC版的 CAD Viewer 軟體   這個 AutoDesk 自己的 Online Viewer ,就是一個很簡單操作的線上觀看 CAD 圖檔的網站 用 Chrome 去 Online Viewer 的時候,遇到一些問題,網站提示 需要啟動 WebGL 的技術 從 chrome://flags 找到了 WebGL 技術 有的,我的 Chrome 瀏覽器的設定是有啟動 WebGL 的... 奇怪!為什麼還是出現那個訊息? 後來找到原因了,是因為我把 Chrome 設定中的"硬體加速"給關閉了 在 chrome://settings/ 中的 "進階設定" 中,勾選"硬體加速",並重新啟動後就可以使用了... 整體的操作介面看起來就非常簡單, 右上角還可以直接作快照,直接下載成為 圖片檔。 但這套也有幾個缺點 1. 上傳之後,系統會寄檔案的連結給你,之後要看檔案必須要記得這個連結。 2. 既然只有檔案連結,無法管理你上傳之後的 CAD圖檔。檔案存活的時間 30天! 3. 沒有轉檔的功能,例如轉成 PDF,沒有!只有擷取畫面並直接下載! 另外,還有一套線上觀看的 AutoCAD 360,看起來好像比較專業一點,整體介面跟 AutoCAD 類似,還可以管理你上傳的 CAD圖檔,付費之後,還可以編輯 CAD圖檔! 如果需求只是看看 CAD圖檔而已,相信 Online Viewer 應該很足夠了!
閱讀完整內容