Настройка двухфакторной аутентификации для инфраструктуры UniFi

Общая информация

В статье описывается интеграция сетевой инфраструктуры Ubiquiti UniFi с сервисом двухфакторной аутентификации MULTIFACTOR для защиты доступа к беспроводной сети WPA3-Enterprise.

Возможные способы аутентификации:

• Мобильное приложение Multifactor

Для настройки второго фактора аутентификации вам потребуется установить и настроить MULTIFACTOR RADIUS Adapter.

Схема работы

1. Пользователь подключается к Wi-Fi сети UniFi (WPA3-Enterprise).
2. Контроллер UniFi  проверяет логин, пароль и переадресовывает запрос в Network Policy Server (NPS).
3. NPS получает запрос от UniFi, запрашивает второй фактор аутентификации по RADIUS протоколу в компоненте MULTIFACTOR Radius Adapter;
4. MULTIFACTOR запрашивает у пользователя подтверждение второго фактора (MFA) и возвращает статус доступа.

Настройка MULTIFACTOR

1. Зайдите в систему управления MULTIFACTOR, далее в раздел Ресурсы и создайте новый ресурс Сетевой экран → Другой:
2. Заполните Название и Адрес по Вашему усмотрению. Параметр При подключении без настроенного второго фактора отвечает за возможность настроить второй фактор при подключении пользователя без настроенного второго фактора доступа;
3. Сохраните настройки
4. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.
5. Разверните компонент MULTIFACTOR Radius Adapter, взяв за основу шаблон из папки clients, создайте и настройте файл конфигурации. Он может выглядеть следующим образом:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <!-- Объявление секции RadiusReply -->
    <configSections>
        <section name="RadiusReply" type="MultiFactor.Radius.Adapter.RadiusReplyAttributesSection, MultiFactor.Radius.Adapter"/>
    </configSections>
  <appSettings>
    <!-- Адрес и порт (UDP) по которому адаптер будет принимать запросы на аутентификацию от клиентов -->
    <add key="adapter-server-endpoint" value="0.0.0.0:1812"/>
    <!-- ip ресурса -->
    <add key="radius-client-ip" value="10.10.10.110"/>
    <!-- Секрет для взаимодействия с ресурсом -->
    <add key="radius-shared-secret" value="000000000"/>
    <!-- где осуществляется проверка первого фактора аутентификации: ActiveDirectory, ADLDS, Radius, None-->
    <add key="first-factor-authentication-source" value="Radius"/>
    <!-- Адрес и порт (UDP) сервера -->
    <add key="nps-server-endpoint" value="ip nps:1812"/>
    <!--Параметры аутентификации Active Directory: например domain.local на хосте 10.0.0.4 -->
    <add key="active-directory-domain" value="ldaps://domain.domain/DC=domain,DC=domain"/>

    <!-- Логин сервисной учётной записи Active Directory для проверки членства пользователей в группах -->
    <add key="service-account-user" value="LdapService1"/>
    <!-- Пароль сервисной учётной записи Active Directory для проверки членства пользователей в группах -->
    <add key="service-account-password" value=""/>

    <!--ActiveDirectory access group (optional);-->
    <add key="active-directory-group" value="Access Users"/>
    <!--ActiveDirectory 2FA group (optional);-->
    <add key="active-directory-2fa-group" value="2FA Users"/>
    <add key="active-directory-2fa-bypass-group" value="No 2FA Users"/>
    <!--<add key="authentication-cache-lifetime" value="00:00:30" /> -->


    <!-- Идентификатор NAS, полученный из панели управления Мультифактора -->
    <add key="multifactor-nas-identifier" value="NAS Identifier из личного кабинета Мультифактора"/>
    <!-- Секретный ключ, полученный из панели управления Мультифактора -->
    <add key="multifactor-shared-secret" value="Shared Secret из личного кабинета Мультифактора"/>
  </appSettings>
</configuration>

Настройка Network Policy Server (NPS)

Необходимо создать правило на стороне NPS, которое обяжет целевую группу пользователей проходить проверку MFA при подключении.

• Откройте консоль управления NPS, разверните дерево разверните дерево Policies → Network Policiess.
• Кликните правой кнопкой мыши по разделу и выберите New (Создать).
• Задайте имя политики: Unifi-WPA3-Enterprise-MFA.
• В поле Type of network access server выберите Wireless или Unspecified и нажмите Next.
• На вкладке Conditions (Условия) нажмите кнопку Add:

• Выберите Windows Groups.
• Добавьте доменную группу безопасности Active Directory, пользователям которой разрешен доступ к корпоративному Wi-Fi (например, Domain\WiFi_Users).
• Нажимайте Next до перехода на вкладку Constraints (Ограничения):
  • В методах проверки подлинности снимите галочку с протокола MS-CHAP v2 ( менее безопасного).
  • Убедитесь, что в качестве основного типа EAP выбран и включен EAP (PEAP).
• Перейдите на вкладку Settings (Параметры) → раздел Authentication Methods → нажмите кнопку Configure... рядом с PEAP для проверки валидности сертификата сервера.

• Сетевые политики

• Завершите создание политики, нажав ОК и Применить.

Настройка Unify

Настройка RADIUS-профиля в UniFi

Важно

Для обеспечения корректной работы интеграции по протоколу RADIUS необходимо наличие в инфраструктуре UniFi Network Controller версии 4.x или выше. 

Войдите в веб-интерфейс контроллера UniFi Network

Перейдите в Настройки (Settings) → Сети (Profiles / Networks) → RADIUS-серверы и нажмите Создать новый (Create New RADIUS Profile).

Заполните данные и добавьте RADIUS профиль.

• Имя (Name): MFA_1812 задаётся произвольно.
• IP-Адрес (Authentication Server IP): 10.10.10.10 (адрес компонента MULTIFACTOR RADIUS Adapter).
• Порт (Port): 1812 ( порт компонента MULTIFACTOR RADIUS Adapter).
• Общий секрет (Shared Secret) (Вставьте секретную фразу, которую вы создали на NPS).

Нажмите Добавить / Применить изменения (Save Changes)

Создание Wi-Fi сети WPA3-Enterprise в UniFi

В интерфейсе UniFi перейдите в раздел Настройки (Settings) → WiFi.

Нажмите Создать новый (Create New Wi-Fi Network).

Укажите следующие параметры:

• Name/SSID: Company-WPA3 (название сети).
• Security: Выберите WPA3 Enterprise .
• RADIUS Profile: Выберите созданный профиль (NPS-M365).

Остальное оставьте без изменений.

Нажмите Save.