Перейти к основному содержимому

Настройка двухфакторной аутентификации С-Терра VPN

Общая информация

В статье описывается настройка шлюза безопасности С-Терра для подключения к VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

может быть полезно

Доступна настройка второго фактора в режиме диалога с пользователем.

Видео-презентация

Схема работы

  1. Пользователь подключается к S-Terra CSP VPN, вводит логин и пароль в С-Терра Клиенте;
  2. С-Терра Шлюз по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
  3. Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа одним из возможных способов аутентификации (в том числе ввод одноразового кода в С-Терра Клиент);

Первые шаги

  1. Создайте аккаунт и войдите в административную панель Мультифактор.
  2. В разделе ресурсы кликните Добавить ресурс. В появившемся списке выберите Другой в разделе Сетевой экран. Заполните необходимые поля для того, чтобы получить параметры NAS Identifier и Shared Secret. Эти параметры потребуются для завершения настройки RADIUS-адаптера.
  3. Загрузите, установите и настройте компонент Multifactor RADIUS Adapter (Windows, Linux).

Настройка С-Терра

Подробные инструкции по настройке Шлюза и Клиента С-Терра доступны на портале документации вендора.

Настройка взаимодействия с RADIUS-сервером

Взаимодействие Radius-клиента C-Терра и Multifactor RADIUS сервера настраивается в Cisco-like консоли управления С-Терра Шлюза.

Hub1(config)#aaa new-model
Hub1(config)#aaa authentication login MF_RADIUS group radius
Hub1(config)#radius-server host RADIUS_HOST
Hub1(config)#radius-server key SECRET
Hub1(config)#radius-server timeout 60

где:

  • SECRET – значение radius-shared-secret из настроек компонента RADIUS адаптера Мультифактор;
  • RADIUS_HOST – IP-адрес RADIUS сервера;
  • (С-Терра Шлюз 4.3) RADIUS_AUTH_PORT – порт для аутентификации из adapter-server-endpoint компонента MultiFactor RADIUS Adapter;
  • (С-Терра Шлюз 4.3) MESSAGE – сообщение, которое будет выводиться в окне аутентификации XAuth С-Терра ещё до прохождения аутентификации.
Важно

С-Терра Шлюз 4.2 использует 1645 порт для аутентификации. Параметр auth-port не поддерживается.

Далее, привяжите список методов аутентификации к динамической криптокарте и включите поддержку XAuth.

Hub1(config)#crypto dynamic-map DMAP 1
Hub1(config-crypto-map)#set client authentication list MF_RADIUS
Hub1(config-crypto-map)#set client authentication xauth
Hub1(config-crypto-map)#set client username interactive
Hub1(config-crypto-map)#exit

Список команд настройки RADIUS-клиента:

Построение VPN туннеля между С-Терра Шлюз и С-Терра Клиент c аутентификацией при помощи RADIUS сервера:

Смотрите также: