Настройка двухфакторной аутентификации С-Терра VPN
Общая информация
В статье описывается настройка шлюза безопасности С-Терра для подключения к VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Возможные способы аутентификации:
Мобильное приложение MultiFactorСМСАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.КлючTelegram
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Доступна настройка второго фактора в режиме диалога с пользователем.
Видео-презентация
Схема работы
- Пользователь подключается к S-Terra CSP VPN, вводит логин и пароль в С-Терра Клиенте;
- С-Терра Шлюз по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа одним из возможных способов аутентификации (в том числе ввод одноразового кода в С-Терра Клиент);
Первые шаги
- Создайте аккаунт и войдите в административную панель Мультифактор.
- В разделе ресурсы кликните Добавить ресурс. В появившемся списке выберите Другой в разделе Сетевой экран. Заполните необходимые поля для того, чтобы получить параметры NAS Identifier и Shared Secret. Эти параметры потребуются для завершения настройки RADIUS-адаптера.
- Загрузите, установите и настройте компонент Multifactor RADIUS Adapter (Windows, Linux).
Настройка С-Терра
Подробные инструкции по настройке Шлюза и Клиента С-Терра доступны на портале документации вендора.
Настройка взаимодействия с RADIUS-сервером
Взаимодействие Radius-клиента C-Терра и Multifactor RADIUS сервера настраивается в Cisco-like консоли управления С-Терра Шлюза.
- С-Терра 4.2
- С-Терра 4.3
Hub1(config)#aaa new-model
Hub1(config)#aaa authentication login MF_RADIUS group radius
Hub1(config)#radius-server host RADIUS_HOST
Hub1(config)#radius-server key SECRET
Hub1(config)#radius-server timeout 60
Hub1(config)#aaa new-model
Hub1(config)#aaa authentication login MF_RADIUS group radius
Hub1(config)#radius-server host RADIUS_HOST auth-port RADIUS_AUTH_PORT
Hub1(config)#radius-server key SECRET
Hub1(config)#radius-server timeout 60
Hub1(config)#aaa authentication banner "MESSAGE"
где:
SECRET– значениеradius-shared-secretиз настроек компонента RADIUS адаптера Мультифактор;RADIUS_HOST– IP-адрес RADIUS сервера;- (С-Терра Шлюз 4.3)
RADIUS_AUTH_PORT– порт для аутентификации изadapter-server-endpointкомпонента MultiFactor RADIUS Adapter; - (С-Терра Шлюз 4.3)
MESSAGE– сообщение, которое будет выводиться в окне аутентификации XAuth С-Терра ещё до прохождения аутентификации.
С-Терра Шлюз 4.2 использует 1645 порт для аутентификации. Параметр auth-port не поддерживается.
Далее, привяжите список методов аутентификации к динамической криптокарте и включите поддержку XAuth.
- С-Терра 4.2
- С-Терра 4.3
Hub1(config)#crypto dynamic-map DMAP 1
Hub1(config-crypto-map)#set client authentication list MF_RADIUS
Hub1(config-crypto-map)#set client authentication xauth
Hub1(config-crypto-map)#set client username interactive
Hub1(config-crypto-map)#exit
Hub1(config)#crypto dynamic-map DMAP 1
Hub1(config-crypto-map)#set client authentication list MF_RADIUS
Hub1(config-crypto-map)#set client authentication xauth
Hub1(config-crypto-map)#exit
Список команд настройки RADIUS-клиента:
Построение VPN туннеля между С-Терра Шлюз и С-Терра Клиент c аутентификацией при помощи RADIUS сервера:
Смотрите также: