Общие сведения

Общие сведения

MultiFactor Radius Adapter — RADIUS сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей при использовании удаленного доступа.

Компонент доступен вместе с исходным кодом, распространяется бесплатно в двух версиях:

• для Windows
• для Linux

Функции компонента

• прием запросов на аутентификацию по протоколу RADIUS;
• проверка первого фактора аутентификации — логина и пароля пользователя в Active Directory (в том числе AD LDS) или Network Policy Server;
• проверка второго фактора аутентификации на телефоне пользователя.

Дополнительные возможности:

• настройка второго фактора в режиме диалога с пользователем;
• настройка доступа на основе принадлежности пользователя к группе в Active Directory;
• избирательное включение второго фактора на основе принадлежности пользователя к группе в Active Directory;
• использование телефона пользователя из профиля Active Directory для отправки одноразового кода через СМС;
• настройка атрибутов ответа RADIUS на основе принадлежности пользователя к группе Active Directory;
• проксирование запросов и ответов Network Policy Server;
• запись журналов в Syslog сервер или SIEM систему.

Первый фактор (логин и пароль), в зависимости от настройки, может быть проверен одним из следующих способов:

1. В домене Active Directory, при этом будут выполнены проверки, что пользователь существует, что пароль корректный, что пользователь не заблокирован, не ограничен в часах подключения, не требует смены пароля. Проверка может выполняться в нескольких доменах, если между ними настроены доверительные отношения.
2. В RADIUS сервере, например, в Network Policy Server, при этом помимо всех вышеперечисленных проверок, могут быть применены дополнительные политики подключения, настроенные в NPS.
3. Без проверки: будет запрошен только второй фактор аутентификации

Важно! Компонент не передает пароль пользователя в облако Мультифактора. Пароль вообще не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора.

Протокол аутентификации

Компонент работает по протоколу PAP, который шифрует пароль пользователя с помощью shared key. Безопасность протокола далека от современных стандартов, но и MS-CHAP2 не панацея. Поэтому единственным надежным вариантом защиты RADIUS трафика является размещение адаптера в изолированном сегменте сети.

При использовании адаптера в качестве прокси к другому RADIUS серверу, например NPS, протокол может быть любым.

Сценарии использования

С помощью компонента можно реализовать следующие сценарии:

• Двухфакторная аутентификация для VPN устройств Cisco, Fortigate, CheckPoint, С-Терра, Huawei, Mikrotik и других
• Двухфакторная аутентификация Windows VPN со службой Routing and Remote Access Service (RRAS)
• Двухфакторная аутентификация Microsoft Remote Desktop Gateway
• Двухфакторная аутентификация VMware Horizon
• Двухфакторная аутентификация Citrix VDI
• Двухфакторная аутентификация Apache Guacamole
• Двухфакторная аутентификация Wi-Fi точек доступа
• и многие другие