RADIUS адаптер

Общие сведения

MultiFactor Radius Adapter — программный компонент, разработанный компаний Мультифактор для двухфакторной аутентификации пользователей при использовании удаленного доступа. Компонент распространяется бесплатно.

MultiFactor.Radius.Adapter.1.0.9.zip

Функции компонента

  • прием запросов на аутентификацию по протоколу RADIUS;
  • проверка первого фактора аутентификации — логина и пароля пользователя;
  • проверка второго фактора аутентификации в облаке Мультифактора: СМС или OTP токен или подтверждение запроса в приложении.

Дополнительные возможности:

  • проверка принадлежности пользователя к группе в Active Directory;
  • автоматическое создание пользователя в облаке Мультифактора с передачей номера телефона из Active Directory для доставки одноразового кода через СМС.

Первый фактор (логин и пароль), в зависимости от настройки, может быть проверен одним из следующих способов:

  1. В домене Active Directory, при этом будут выполнены проверки, что пользователь существует, что пароль корректный, что пользователь не заблокирован, не ограничен в часах подключения, не требует смены пароля.
  2. В RADIUS сервере, например, в Network Policy Server, при этом помимо всех вышеперечисленных проверок, могут быть применены дополнительные политики подключения, настроенные в NPS.

Важно! Компонент не передает пароль пользователя в облако Мультифактора. Пароль вообще не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора.

Требования для установки компонента

  • Компонент устанавливается на любой Windows сервер начиная с версии 2012 R2;
  • Серверу с установленным компонентом необходим доступ к хосту api.multifactor.ru по TCP порту 443 (TLS).

Параметры компонента

Параметры работы компонента хранятся в файле MultiFactor.Radius.Adapter.exe.config в формате XML.

Общие параметры

<!-- Адрес и порт (UDP) по которому адаптер будет принимать запросы на аутентификацию от клиентов -->
<add key="adapter-server-endpoint" value="192.168.0.1:1812"/>

<!-- Shared secret для аутентификации RADIUS клиентов -->
<add key="radius-shared-secret" value=""/>

<!--Где проверять первый фактор: ActiveDirectory или RADIUS -->
<add key="first-factor-authentication-source" value="ActiveDirectory"/>

<!-- Не запрашивать повторно второй фактор для пользователя/устройства в течении указанного периода в минутах (опционально) -->
<add key="bypass-second-factor-period" value="30"/>

<!--Адрес API Мультифактора -->
<add key="multifactor-api-url" value="https://api.multifactor.ru"/>
<!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-nas-identifier" value=""/>
<!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-shared-secret" value=""/>

<!-- Минимальный уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
<add key="logging-level" value="Info"/>

Параметры подключения к Active Directory

Для проверки первого фактора в AD применимы следующие параметры:

<!--Домен-->
<add key="active-directory-domain" value="domain.local"/>

<!--Проверять принадлежность пользователя к группе (не проверяется, если удалить настройку)-->
<add key="active-directory-group" value="VPN Users"/>
<!--Запрашивать второй фактор только у пользователей из указанной группы (второй фактор требуется всем, если удалить настройку)-->
<add key="active-directory-2fa-group" value="2FA Users"/>
<!--Использовать номер телефона из AD для отправки одноразового кода в СМС (не используется, если удалить настройку)-->
<add key="use-active-directory-user-phone" value="true"/>

При включении параметра use-active-directory-user-phone компонент будет использовать телефон, записанный на вкладке General. Формат телефона может быть любым.

Параметры подключения к внешнему RADIUS серверу

Для проверки первого фактора в RADIUS, например, в Network Policy Server применимы следующие параметры:

<!--Адрес и порт (UDP) который будет использоваться для подключения к серверу -->
<add key="adapter-client-endpoint" value="192.168.0.1:56129"/>
<!--Адрес и порт (UDP) сервера -->
<add key="nps-server-endpoint" value="192.168.0.10:1812"/>

Дополнительные RADIUS атрибуты

Можно указать, какие атрибуты будет передавать компонент при успешной аутентификации

<RadiusReply>
    <Attributes>
        <add name="cisco-avpair" value="webvpn:user-vpn-group=VPNUsers"/>
        <add name="cisco-avpair" value="webvpn:inacl=VPNUsers"/>
    </Attributes>
</RadiusReply>

Запуск компонента

Компонет может работать в консольном режиме или в качестве службы Windows. Для запуска в консольном режиме достаточно запустить приложение.

Для установки, как Windows Service, запустите с ключом /i от имени Администратора

MultiFactor.Radius.Adapter.exe /i

Компонент устанавливается в режиме автоматического запуска от имени Network Service.

Для удаление Windows Service запустите с ключом /u от имени Администратора

MultiFactor.Radius.Adapter.exe /u

Журналы

Журналы работы компонента находятся в папке Logs. Если их нет, удостоверьтесь, что папка доступна для записи пользователю Network Service.

Сценарии использования

С помощью компонента можно реализовать следующие сценарии:

Last updated on 2020-5-16
RADIUS протоколAD портал