Я настроил VPN FortiGate с Radius + Azure MFA, но несколько групп по-прежнему используют конфигурацию LDAP. Проблема, которая появилась в последний раз: если пользователь входит в группу радиуса, не подтвердил или не отклонил запрос MFA, его соединение установлено, и пользователь назначен одной из групп LDAP в FortiGate. При подтверждении MFA - присваивается правильной группе. В журналах на NPS я вижу, что соединение отклонено, доступ запрещен, но fortigate все еще разрешает соединение. Пользователь находится только в группе радиуса. Много раз меняйте конфигурацию NPS.
Текущий:
Политики подключения: Fortigate
Настройка IPv4-адреса клиента -> Vendor-Specyfic -> Radius Standard -> VendorCode: 12356, Нет, не соответствует (если Да - ничего не изменится) Политики подключения: Использовать проверку подлинности Windows для всех пользователей - по умолчанию
Сетевая политика:
Для всех групп действует независимая полиция. group1: Условия: Группы пользователей -> в группе "group1", Vendor-Specyfic -> значение: group1 (присвоенный поставщиком номер атрибута: 1, String, значение атрибута: group1) group2: та же конфигурация, что и выше.
FortiGate работает в режиме HA - два узла в активном-активном режиме.
Может у кого-то была такая же проблема? Какие-нибудь советы? Я не знаю, проблема с конфигурацией NPS или с Fortigate? Почему пользователь получает доступ и попадает в группу ldap, даже если отклоняет второй этап проверки?