Menu Utenti
Per aggiungere utenti al Firewall come prima cosa effettuiamo il login.
Andiamo poi sulla pagina utenti, nel menù sulla sinistra:
System -> Access -> Users
Ora nella lista utenti ci basterà cliccare sul tasto + in alto a destra.
Menu creazione utente
Ora che siamo nel nostro menu di creazione possiamo creare l’utente con tutte le informazioni necessarie.
- Username: scegliamo un username per l’utente (senza spazi)
- Password: Inseriamo la password (2 volte) per il nuovo utente, l’utente potrà sempre cambiarla successivamente dopo l’accesso.
- Full name: Inserire il nome completo della persona per identificarla successivamente.
- E-Mail: campo facoltativo
- Comment: campo facoltativo
- Expiration date: Se vogliamo dare una data di scadenza automatica alle credenziali clicchiamo e selezioniamo la data oltre cui le credenziali non funzioneranno più.
- Group Memberships: Scegliamo il gruppo a cui dovrà appartenere l’utente (VPN, monitoraggio, manutenzione ecc.)
- Certificate: da spuntare Click to create a user certificate solo nel caso di credenziali VPN.
- OTP seed: da spuntare “Generate new secret” solo nel caso si vogliamo abilitare il 2FA per l’utente.
Dopo aver compilato tutto e messo le spunta di cui abbiamo bisogno facciamo Save per andare avanti.
Creazione certificato utente (in caso di VPN)
Compilare i campi del certificato in base all’impostazione del certificato principale:
- Method: Create an internal Certificate
- Descriptive name: nome dell’utente
- Certificate authority: Selezionare l’authority (di solito è una sola)
- Type: Client Certificate
- Key Type: Elliptic Curve
- Curve: secp521r1
- Digest Algorithm: SHA512
- Lifetime: Inserire il numero di giorni dopo cui scade il certificato (365=1 anno, 3650=10 anni)
- Private key location: Save on this firewall
La sezione Distinguished name è precompilata con i dati dell’organizzazione.
Facciamo Save
Torneremo alla schermata precedente, questa volta nella sezione User Certificates troveremo il nostro certificato.
Ora possiamo fare Save ed abbiamo concluso la creazione.
Creazione OTP seed per 2FA (obbligatorio dal 2024)
Se abbiamo selezionato Generate new secret (160bit) non appena clicchiamo Save ci riporterà alla stessa schermata per trovarci compilato il campo OTP seed e OTP QR code.
Cliccando Click tu unhide possiamo vedere il QR code per configurarlo all’interno di una qualunque app di autenticazione sul telefono. Altrimenti possiamo copiarci OTP seed ed incollarlo nell’app di autenticazione.
Per disattivare il 2FA ad un utente basta aprire l’utente, cancellare la stringa OTP seed e cliccare Save.
NB: Tutte le nuove installazioni dal 2024 impostiamo obbligatoriamente il 2FA per l’accesso sia al pannello web sia alla VPN.
Se non s’imposta il seed non sarà possibile connettersi.
Download file configurazione VPN per l’utente
Aprire VPN -> OpenVPN -> Client Export
Ora in questa schermata troviamo precompilati tutti i campi e la lista degli utenti.
Di fianco all’utente avremo il tasto download per scaricare il file configurazione di OpenVPN.
Ora basterà installare un client OpenVPN ed importare la configurazione:
Windows -> https://openvpn.net/community-downloads/
MacOS -> https://tunnelblick.net/downloads.html
Android -> https://play.google.com/store/apps/details?id=de.blinkt.openvpn
PS. Se l’utente ha attivo il 2FA per collegarsi in VPN dovrà inserire nel campo password sia la password, sia il codice OTP.
Esempio:
Abbiamo la password -> PaSsW0rD
Abbiamo il codice OTP dell’app -> 123456
Inseriremo nel campo password di OpenVPN senza spazi -> PaSsW0rD123456