Перейти к основному содержимому

Настройка двухфакторной аутентификации Cisco ASA AnyConnect VPN

Общая информация

В статье описывается настройка Cisco ASA AnyConnect для подключения к VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

может быть полезно

Доступна настройка второго фактора в режиме диалога с пользователем.

Видео-презентация

Схема работы

  1. Пользователь подключается к VPN, вводит логин и пароль в AnyConnect;
  2. Cisco ASA по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
  3. Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в AnyConnect.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, далее в раздел Ресурсы и создайте новый ресурс типа "Сетевой экран" - "Cisco".
  2. Заполните "Название" и "Адрес" по вашему усмотрению. Параметры "Действие при подключении второго фактора" и "Язык" отвечают за возможность настроить второй фактор непосредственно в клиенте AnyConnect при подключении пользователя без настроенного второго фактора доступа.
  3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.
  4. Установите и настройте MultiFactor Radius Adapter.

Настройка Cisco ASA

ADSM Configuration

  1. Выберите подключение для которого требуется двухфакторная аутентификация;
  2. Нажмите Edit -> Basic;
  3. В разделе Authentication нажмите Manage;
  4. В разделе "AAA Server Groups" нажмите Add;
  5. Создайте новую группу серверов:
    • название: MFA Radius Servers
    • протокол: RADIUS
    • сохраните и закройте
  6. Далее создайте новый сервер в группе:
    • IP адрес: адрес компонента MultiFactor Radius Adapter
    • Server Secret Key: Shared Key из настроек компонента
    • Timeout: 40 секунд
    • снимите флажок "Microsoft CHAPv2 Capable"
    • сохраните и закройте.
  7. В разделе Authentication, укажите для AAA Server Group группу "MFA Radius Servers".

CLI Configuration

aaa-server MFA protocol radius
aaa-server MFA (inside) host 10.105.130.51
key *****

tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
address-pool test
authentication-server-group (inside) MFA
tunnel-group TEST webvpn-attributes
group-alias TEST enable

ip local pool test 192.168.1.1-192.168.1.10 mask 255.255.255.0

Смотрите также: