Перейти к основному содержимому

Настройка двухфакторной аутентификации Huawei SSL VPN

В статье описывается настройка Huawei Firewall для подключения к SSL VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Видео-презентация

Схема работы

  1. Пользователь подключается к VPN, вводит логин и пароль в SecoClient;
  2. Huawei Firewall по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
  3. Компонент проверяет логин и пароль пользователя в Active Directory, AD LDS или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый ресурс Сетевой экран -> Другой:
  • Название: Huawei SSL VPN
  • При подключении без настроенного второго фактора: Запретить доступ

Нажмите Сохранить

  1. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
  2. Загрузите и установите MultiFactor Radius Adapter.

Настройка Huawei (Web UI)

Зайдите в Web UI под аккаунтом администратора.

1. Настройка политики безопасности

В разделе Policy -> Security Policy -> Security Policy нажмите Add Security Policy и добавьте новую политику безопасности для трафика между FW и сервером аутентификации RADIUS:

Нажмите ОК

2. Настройка сервера аутентификации RADIUS

В разделе Object -> Authentication Server -> RADIUS нажмите Add и добавьте новый сервер аутентификации:

  • Name: MF
  • Primary Authentication Server IP Address: адрес компонента MultiFactor Radius Adapter
  • Authentication port: 1812 (порт компонента MultiFactor Radius Adapter)
  • Retransmission Attempts: 5
  • Reply Timeout: 10 seconds
  • User Name Format: Without Authentication Domain

Для проверки нажмите Test, введите

  • Test Account: имя пользователя
  • Password: пароль пользователя
  • Authentication Type: PAP

В случае правильной настройки в адаптер поступит запрос доступа для пользователя, а в панели управления Мультифактор появится новый пользователь.

Нажмите OK.

Дополнительно необходимо настроить параметр max-unresponsive-interval.

Настройка доступна через cli:

<USG6500E> system-view
[USG6500E] radius-server max-unresponsive-interval 60

3. Настройка домена аутентификации

В разделе User -> Authentication Domain нажмите Add и добавьте новый домен аутентификации:

  • Name: domain.com (ваш домен active directory)
  • Associated Group: Domain Name

Нажмите OK.

В разделе User появится созданный домен. Кликните по нему и зайдите в расширенные настройки.

  • Scenario: включите флажок для SSL VPN access
  • User Location: Authentication Server
  • Authentication Server: RADIUS/MF
  • Reporting Traffic to the Authentication Server: отключите
  • Radius Accounting: отключите
  • Radius Authorization: включите

Нажмите Apply.

4. Настройка SSL VPN

В разделе Network -> SSL VPN выберите ваш шлюз.

На вкладке "Gateway Configuration":

  • Authentication Domain: выберите домен из шага 3

На вкладке "Role Authorization/User":

В разделах List of Authorized Roles и User/User Group List добавьте домен из шага 3.

Нажмите OK.

Дополнительные возможности

С Мультифактор вы также сможете реализовать следующие сценарии:

  • Двухфакторная аутентификация для Huawei SecoClient L2TP VPN
  • Двухфакторная аутентификация для Huawei SecoClient IPSec VPN
  • Двухфакторная аутентификация для Huawei Web Admin
  • Двухфакторная аутентификация для Huawei Telnet Admin
  • Двухфакторная аутентификация для Huawei SSH Admin

Смотрите также: