- Начало работы
- Интеграция
- HTTP API
- Single Sign-On
- OpenID Connect
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- 1С:Предприятие с системой единого входа на базе OIDC
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- BI.ZONE ZTNA
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- Deckhouse Stronghold
- Exchange ActiveSync
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco
- Infrascope
- Grafana
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI/SSH)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Palo Alto GlobalProtect
- Passwork
- RD Gateway (RDGW)
- RdWeb
- Redmine
- Starvault
- Solar SafeInspect
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- WordPress
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
- Пользовательское соглашение об использовании программного обеспечения «МУЛЬТИФАКТОР»
- Политика в отношении обработки персональных данных при использовании сайта https://multifactor.ru/
- Пользовательское соглашение об использовании мобильного приложения «MULTIFACTOR»
- Политика в отношении обработки персональных данных
- Согласие на обработку персональных данных пользователей сайта https://multifactor.ru/
- Лицензионное соглашение
- Политика оплаты
- Результаты проведения специальной оценки условий труда (СОУТ)
Настройка двухфакторной аутентификации на сервере Network Policy Server
Общая информация
В статье описывается настройка Microsoft Network Policy Server для включения двухфакторной аутентификации с одноразовым кодом доступа или PUSH уведомлением при подключении VPN клиентов, таких как Cisco AnyConnect, FortiClient VPN и других.
Применимо к версиям:
Windows Server 2012 R2Windows Server 2016Windows Server 2019
Возможные способы аутентификации:
Мобильное приложение MultifactorTelegramАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.КлючСМС
Для настройки второго фактора аутентификации вам потребуется установить и настроить MULTIFACTOR Radius Adapter в режиме RADIUS прокси между клиентом и сервером NPS.
Подсказка
Обратите внимание, в большинстве случаев вы можете отказаться от использования NPS, полностью заменив его на MULTIFACTOR Radius Adapter.
Схема работы
- Radius клиент подключается к компоненту Radius Adapter.
- Компонент выполняет аутентификацию клиента в Network Policy Service.
- В случае успешной аутентификации запрашивает у пользователя подтверждение доступа вторым фактором.
Настройка MULTIFACTOR
- Зайдите в систему управления MULTIFACTOR, далее в раздел
Ресурсыи создайте новый ресурсСетевой экран→Другой; - Заполните
НазваниеиАдреспо вашему усмотрению. ПараметрПри подключении без настроенного второго фактораотвечает за возможность настроить второй фактор при подключении пользователя без настроенного второго фактора доступа; - После создания вам будут доступны два параметра:
NAS IdentifierиShared Secret, они потребуются для последующих шагов;
Настройка компонента MULTIFACTOR Radius Adapter
Разверните компонент MULTIFACTOR Radius Adapter, взяв за основу шаблон из папки clients, ( или создайте свой) и настройте файл конфигурации. Он должен выглядеть следующим образом:
Для Radius-адаптера v1 и v2
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<appSettings>
<!-- ip ресурса -->
<add key="radius-client-ip" value="10.10.10.10 "/>
<!-- Секрет для взаимодействия с NPS. Должен быть идентичен в конфигурации NPS и на стороне клиента -->
<add key="radius-shared-secret" value="123"/>
<!-- где осуществляется проверка первого фактора аутентификации: ActiveDirectory, ADLDS, Radius, None-->
<add key="first-factor-authentication-source" value="Radius"/>
<!-- ip адрес, который слушает RADIUS-адаптер для входящих запросов -->
<add key="adapter-client-endpoint" value="0.0.0.0"/>
<!-- ip адрес NPS -->
<add key="nps-server-endpoint" value="ip NPS:1812"/>
<!-- Идентификатор NAS, полученный из панели управления Мультифактора -->
<add key="multifactor-nas-identifier" value="NAS Identifier из личного кабинета Мультифактора"/>
<!-- Секретный ключ, полученный из панели управления Мультифактора -->
<add key="multifactor-shared-secret" value="Shared Secret из личного кабинета Мультифактора"/>
</appSettings>
</configuration>
Важно
Значение SHARED_SECRET должно быть одинаковое на VPN устройстве, адаптере и сервере NPS, чтоб компонент мог корректно проксировать запросы.
Если вы планируете установить адаптер на одном сервере с NPS, необходимо будет изменить порт, который слушает адаптер, чтоб не было конфликтов.
Настройка RADIUS сервера (NPS)
В разделе RADIUS Clients измените адрес клиента на адрес адаптера.
Настройка RADIUS клиента
Поменяйте адрес радиус сервера на адрес адаптера и увеличьте таймаут ожидания запроса до 40 секунд, чтоб у пользователя было достаточно времени для подтверждения аутентификации.
Смотрите также:
