- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Общие сведения
Общие сведения
MULTIFACTOR Radius Adapter — RADIUS сервер, разработанный и поддерживаемый компанией МУЛЬТИФАКТОР для двухфакторной аутентификации пользователей при использовании удалённого доступа.
Компонент доступен вместе с исходным кодом, распространяется бесплатно в двух версиях:
Функции компонента
- приём запросов на аутентификацию по протоколу RADIUS;
- проверка первого фактора аутентификации — логина и пароля пользователя в Active Directory (в том числе AD LDS) или Network Policy Server;
- проверка второго фактора аутентификации на телефоне пользователя;
- работа с одним или несколькими сетевыми устройствами с различными настройками.
Дополнительные возможности:
- настройка второго фактора в режиме диалога с пользователем;
- настройка доступа на основе принадлежности пользователя к группе в Active Directory;
- избирательное включение второго фактора на основе принадлежности пользователя к группе в Active Directory;
- использование телефона пользователя из профиля Active Directory для отправки одноразового кода через СМС;
- настройка атрибутов ответа RADIUS на основе принадлежности пользователя к группе Active Directory;
- проксирование запросов и ответов Network Policy Server;
- запись журналов в Syslog сервер или SIEM систему.
Первый фактор (логин и пароль), в зависимости от настройки, может быть проверен одним из следующих способов:
- В домене Active Directory, при этом будут выполнены проверки, что пользователь существует, что пароль корректный, что пользователь не заблокирован, не ограничен в часах подключения, не требует смены пароля. Проверка может выполняться в нескольких доменах, если между ними настроены доверительные отношения.
- В RADIUS сервере, например, в Network Policy Server, при этом помимо всех вышеперечисленных проверок, могут быть применены дополнительные политики подключения, настроенные в NPS.
- Без проверки: будет запрошен только второй фактор аутентификации.
Важно
Компонент не передает пароль пользователя в облако MULTIFACTOR. Пароль вообще не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора.
Протокол аутентификации
Компонент работает по протоколу PAP, который шифрует пароль пользователя с помощью shared key. Безопасность протокола далека от современных стандартов, но и MS-CHAP2 не панацея. Поэтому единственным надежным вариантом защиты RADIUS трафика является размещение адаптера в изолированном сегменте сети.
При использовании адаптера в качестве прокси к другому RADIUS серверу, например NPS, протокол может быть любым.
Сценарии использования
С помощью компонента можно реализовать следующие сценарии:
- Двухфакторная аутентификация для VPN устройств Cisco, Fortigate, CheckPoint, С-Терра, Huawei, Mikrotik и других
- Двухфакторная аутентификация Windows VPN со службой Routing and Remote Access Service (RRAS)
- Двухфакторная аутентификация Microsoft Remote Desktop Gateway
- Двухфакторная аутентификация VMware Horizon
- Двухфакторная аутентификация Citrix VDI
- Двухфакторная аутентификация Apache Guacamole
- Двухфакторная аутентификация Wi-Fi точек доступа
- и многие другие
