Настройка двухфакторной аутентификации Cisco ASA AnyConnect VPN

Общая информация

В статье описывается настройка Cisco ASA AnyConnect для подключения к VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• СМС
• Аппаратные OTP токены
• Приложения OTP: Google Authenticator или Яндекс.Ключ
• Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Доступна настройка второго фактора в режиме диалога с пользователем.

Видео-презентация

Схема работы

1. Пользователь подключается к VPN, вводит логин и пароль в AnyConnect;
2. Cisco ASA по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
3. Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
4. Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в AnyConnect.

Настройка Мультифактора

1. Зайдите в систему управления Мультифактором, далее в раздел Ресурсы и создайте новый ресурс типа "Сетевой экран" - "Cisco".
2. Заполните "Название" и "Адрес" по вашему усмотрению. Параметры "Действие при подключении второго фактора" и "Язык" отвечают за возможность настроить второй фактор непосредственно в клиенте AnyConnect при подключении пользователя без настроенного второго фактора доступа.
3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.
4. Установите и настройте MultiFactor Radius Adapter.

Настройка Cisco ASA

ADSM Configuration

1. Выберите подключение для которого требуется двухфакторная аутентификация;
2. Нажмите Edit -> Basic;
3. В разделе Authentication нажмите Manage;
4. В разделе "AAA Server Groups" нажмите Add;
5. Создайте новую группу серверов:
   • название: MFA Radius Servers
   • протокол: RADIUS
   • сохраните и закройте
6. Далее создайте новый сервер в группе:
   • IP адрес: адрес компонента MultiFactor Radius Adapter
   • Server Secret Key: Shared Key из настроек компонента
   • Timeout: 40 секунд
   • снимите флажок "Microsoft CHAPv2 Capable"
   • сохраните и закройте.
7. В разделе Authentication, укажите для AAA Server Group группу "MFA Radius Servers".

CLI Configuration

aaa-server MFA protocol radius
aaa-server MFA (inside) host 10.105.130.51
 key *****

tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
 address-pool test
 authentication-server-group (inside) MFA
tunnel-group TEST webvpn-attributes
 group-alias TEST enable

ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0

Смотрите также:

• Настройка двухфакторной аутентификации Remote Desktop.
• Портал для самостоятельной регистрации 2fa.