- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка двухфакторной аутентификации в VPN КриптоПро NGate
Общая информация
В статье описывается настройка NGate для подключения к VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение Multifactor
Telegram
СМС
Аппаратные OTP токены
Приложения OTP: Google Authenticator или Яндекс.Ключ
Для настройки второго фактора аутентификации вам потребуется установить и настроить MULTIFACTOR Radius Adapter. Настройка шлюза NGate, LDAP-сервера так же должны быть произведены заранее.
Может быть полезно
Доступна настройка второго фактора в режиме диалога с пользователем.
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в VPN-клиенте CryptoPro NGate;
- Шлюз NGate проверяет логин и пароль пользователя в LDAP-каталоге;
- Шлюз NGate по протоколу RADIUS запрашивает второй фактор в MULTIFACTOR Radius Adapter;
- Пользователь подтверждает запрос на телефоне и подключается к VPN.
Настройка MULTIFACTOR
- Зайдите в систему управления MULTIFACTOR, далее в раздел Ресурсы и создайте новый ресурс типа «Сетевой экран» → «NGate»;
- Заполните «Название» и «Адрес» по вашему усмотрению. Параметры «Перед проверкой второго фактора» и «Язык» отвечают за возможность настроить второй фактор непосредственно в клиенте NGate при подключении пользователя без настроенного второго фактора доступа;
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Установите и настройте MULTIFACTOR Radius Adapter.
Настройка NGate VPN
Откройте панель управления NGate.
- В разделе «Кластеры» → «Все конфигурации» выберите вашу конфигурацию.
Настройка LDAP клиента
- В настраиваемой конфигурации перейдите на вкладку «Внешние службы». В разделе «LDAP-сервер» нажмите «Привязать» для перехода на страницу настройки LDAP-серверов;
- Если LDAP сервер отсутствует, то добавьте новый LDAP-сервер нажатием кнопки «+» (создание LDAP-сервера);
- Задайте параметры LDAP-сервера, нажмите «галочку» (сохранить);
- Выполните привязку LDAP-сервера к конфигурации.

Настройка RADIUS клиента
- В настраиваемой конфигурации перейдите на вкладку «Внешние службы». В разделе «RADIUS-сервер» нажмите «Привязать» для перехода на страницу настройки RADIUS-серверов;
- Нажмите «+» (Создание RADIUS-сервера);
- Задайте параметры подключения к MULTIFACTOR Radius Adapter:
- RADIUS name: Multifactor;
- RADIUS server address: адрес компонента MULTIFACTOR Radius Adapter;
- RADIUS server port: порт из настроек компонента MULTIFACTOR Radius Adapter;
- Secret: radius shared secret из настроек компонента MULTIFACTOR Radius Adapter;
- Нажмите «галочку» (Сохранить);
- Выполните привязку RADIUS-сервера MULTIFACTOR к конфигурации.

Настройка портала NGate
- В настраиваемой конфигурации перейдите на вкладку «Порталы». Нажмите иконку «Редактирование http портала» в строке с вашим порталом.
- Нажмите кнопку «Расширенные настройки», настройте конфигурацию следующим образом:
- Метод аутентификации пользователей: Логин/пароль (LDAP);
- Использовать RADIUS: включите;
- Использование пароля:
- Отправлять пароль в LDAP: включите;
- Отправлять пароль в RADIUS: выключите;
- Запрашивать OTP: включите, если планируете использовать OTP.

Документация по конфигурации портала.
Настройка пользовательской машины
Настройте пользовательскую машину по инструкции вендора
Подключение
- Откройте клиент CryptoPro NGate;
- Введите имя вашего шлюза;
- Нажмите «Подключить»;
- Введите логин и пароль пользователя из LDAP-каталога;
- Подтвердите второй фактор выбранным способом;
- Соединение установлено!

Смотрите также:
- Портал для самостоятельной регистрации 2fa;
- Настройка Radius Adapter для Linux;
- Настройка двухфакторной аутентификации на сервере CentOS.
Последнее обновление 25 декабря 2024 г.