Настройка двухфакторной аутентификации Cisco ASA AnyConnect VPN
Общая информация
В статье описывается настройка Cisco ASA AnyConnect для подключения к VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactorСМСАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.КлючTelegram
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Доступна настройка второго фактора в режиме диалога с пользователем.
Видео-презентация
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в AnyConnect;
- Cisco ASA по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в AnyConnect.
Настройка Cisco ASA
ADSM Configuration
- Выберите подключение для которого требуется двухфакторная аутентификация;
- Нажмите Edit -> Basic;
- В разделе Authentication нажмите Manage;
- В разделе "AAA Server Groups" нажмите Add;
- Создайте новую группу серверов:
- название: MFA Radius Servers
- протокол: RADIUS
- сохраните и закройте
- Далее создайте новый сервер в группе:
- IP адрес: адрес компонента MultiFactor Radius Adapter
- Server Secret Key: Shared Key из настроек компонента
- Timeout: 40 секунд
- снимите флажок "Microsoft CHAPv2 Capable"
- сохраните и закройте.
- В разделе Authentication, укажите для AAA Server Group группу "MFA Radius Servers".
CLI Configuration
aaa-server MFA protocol radius
aaa-server MFA (inside) host 10.105.130.51
key *****
tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) MFA
tunnel-group TEST webvpn-attributes
group-alias TEST enable
ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0
Смотрите также: