Настройка двухфакторной аутентификации Huawei SSL VPN
В статье описывается настройка Huawei Firewall для подключения к SSL VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
СМС
Аппаратные OTP токены
Приложения OTP: Google Authenticator или Яндекс.Ключ
Telegram
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Видео-презентация
Mobile app
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в SecoClient;
- Huawei Firewall по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory, AD LDS или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне.
Настройка Мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый ресурс Сетевой экран -> Другой:
- Название: Huawei SSL VPN
- При подключении без настроенного второго фактора: Запретить доступ
Нажмите Сохранить
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Загрузите и установите MultiFactor Radius Adapter.
Настройка Huawei (Web UI)
Зайдите в Web UI под аккаунтом администратора.
1. Настройка политики безопасности
В разделе Policy -> Security Policy -> Security Policy нажмите Add Security Policy и добавьте новую политику безопасности для трафика между FW и сервером аутентификации RADIUS:
- Name: fw to auth-server
- Source Zone: local
- Destination Zone: dmz (зона компонента MultiFactor Radius Adapter)
- Destination Address/Region: адрес компонента MultiFactor Radius Adapter
- Service: radius
- Action: Permit
Нажмите ОК
2. Настройка сервера аутентификации RADIUS
В разделе Object -> Authentication Server -> RADIUS нажмите Add и добавьте новый сервер аутентификации:
- Name: MF
- Primary Authentication Server IP Address: адрес компонента MultiFactor Radius Adapter
- Authentication port: 1812 (порт компонента MultiFactor Radius Adapter)
- Retransmission Attempts: 5
- Reply Timeout: 10 seconds
- User Name Format: Without Authentication Domain
Для проверки нажмите Test, введите
- Test Account: имя пользователя
- Password: пароль пользователя
- Authentication Type: PAP
В случае правильной настройки в адаптер поступит запрос доступа для пользователя, а в панели управления Мультифактор появится новый пользователь.
На жмите OK.
Дополнительно необходимо настроить параметр max-unresponsive-interval
.
Настройка доступна через cli:
<USG6500E> system-view
[USG6500E] radius-server max-unresponsive-interval 60
3. Настройка домена аутентификации
В разделе User -> Authentication Domain нажмите Add и добавьте новый домен аутентификации:
- Name: domain.com (ваш домен active directory)
- Associated Group: Domain Name
Нажмите OK.
В разделе User появится созданный домен. Кликните по нему и зайдите в расширенные настройки.
- Scenario: включите флажок для SSL VPN access
- User Location: Authentication Server
- Authentication Server: RADIUS/MF
- Reporting Traffic to the Authentication Server: отключите
- Radius Accounting: отключите
- Radius Authorization: включите
Нажмите Apply.
4. Настройка SSL VPN
В разделе Network -> SSL VPN выберите ваш шлюз.
На вкладке "Gateway Configuration":
- Authentication Domain: выберите домен из шага 3
На вкладке "Role Authorization/User":
В разделах List of Authorized Roles и User/User Group List добавьте домен из шага 3.
Нажмите OK.
Дополнительные возможности
С Мультифактор вы также сможете реализовать следующие сценарии:
- Двухфакторная аутентификация для Huawei SecoClient L2TP VPN
- Двухфакторная аутентификация для Huawei SecoClient IPSec VPN
- Двухфакторная аутентификация для Huawei Web Admin
- Двухфакторная аутентификация для Huawei Telnet Admin
- Двухфакторная аутентификация для Huawei SSH Admin
Смотрите также: