Настройка двухфакторной аутентификации в VPN КриптоПро NGate
Общая информация
В статье описывается настройка NGate для подключения к VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactorTelegramСМСАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.Ключ
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter. Настройка шлюза NGate, LDAP-сервера так же должны быть произведены заранее.
может быть полезно
Доступна настройка второго фактора в режиме диалога с пользователем.
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в VPN-клиенте CryptoPro NGate;
- Шлюз NGate проверяет логин и пароль пользователя в LDAP-каталоге;
- Шлюз NGate по протоколу RADIUS запрашивает второй фактор в MultiFactor Radius Adapter;
- Пользователь подтверждает запрос на телефоне и подключается к VPN.
Настройка MULTIFACTOR
- Зайдите в систему управления MULTIFACTOR, далее в раздел Ресурсы и создайте новый ресурс типа "Сетевой экран" -> " NGate";
- Заполните "Название" и "Адрес" по вашему усмотрению. Параметры "Перед проверкой второго фактора" и "Язык" отвечают за возможность настроить второй фактор непосредственно в клиенте NGate при подключении пользователя без настроенного второго фактора доступа;
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Установите и настройте MultiFactor Radius Adapter.
Настройка NGate VPN
Откройте панель управления NGate.
- В разделе "Кластеры" -> "Все конфигурации" выберите вашу конфигурацию.
Настройка LDAP клиента
- В настраиваемой конфигурации перейдите на вкладку "Внешние службы". В разделе "LDAP-сервер" нажмите "Привязать"" для перехода на страницу настройки LDAP-серверов;
- Если LDAP сервер отсутствует, то добавьте новый LDAP-сервер нажатием кнопки "+" (Создание LDAP-сервера);
- Задайте параметры LDAP-сервера, нажмите "галочку" (Сохранить);
- Выполните привязку LDAP-сервера к конфигурации.
Настройка RADIUS клиента
- В настраиваемой конфигурации перейдите на вкладку "Внешние службы". В разделе "RADIUS-сервер" нажмите "Привязать" для перехода на страницу настройки RADIUS-серверов;
- Нажмите "+" (Создание RADIUS-сервера);
- Задайте параметры подключения к Multifactor Radius Adapter:
- RADIUS name: Multifactor;
- RADIUS server address: адрес компонента MultiFactor Radius Adapter;
- RADIUS server port: порт из настроек компонента MultiFactor Radius Adapter;
- Secret: radius shared secret из настроек компонента MultiFactor Radius Adapter;
- Нажмите "галочку" (Сохранить);
- Выполните привязку RADIUS-сервера Multifactor к конфигурации;
Настройка портала NGate
- В настраиваемой конфигурации перейдите на вкладку "Порталы". Нажмите иконку "Редактирование http портала" в строке с вашим порталом.
- Нажмите кнопку "Расширенные настройки", настройте конфигурацию следующим образом:
- Метод аутентификации пользователей: Логин/пароль (LDAP);
- Использовать RADIUS: включите;
- Использование пароля:
- Отправлять пароль в LDAP: включите;
- Отправлять пароль в RADIUS: выключите;
- Запрашивать OTP: включите, если планируете использовать OTP.
Документация по конфигурации портала.
Настройка пользовательской машины
Настройте пользовательскую машину по инструкции вендора
Подключение
- Откройте клиент CryptoPro NGate;
- Введите имя вашего шлюза;
- Нажмите "Подключить";
- Введите логин и пароль пользователя из LDAP-каталога;
- Подтвердите второй фактор выбранным способом;
- Соединение установлено!
Смотрите также: