- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- Windows Logon
- MacOS logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Настройка двухфакторной аутентификации точки доступа Wi-Fi
Общая информация
В статье описывается настройка двухфакторной аутентификации для подключения к беспроводной сети WiFi с технологией защиты WPA2 Enterprise и проверкой логина/пароля пользователя в домене Active Directory.
Возможные способы аутентификации:
Мобильное приложение Multifactor
Telegram
Звонок (нужно принять вызов и нажать #)
Для настройки вам потребуется:
- Точка доступа Wi-Fi
- Microsoft Network Policy Server, подключенный к домену Active Directory
- MULTIFACTOR Radius Adapter, установленный в качестве RADIUS прокси между точкой доступа и NPS.
Видео-презентация
Схема работы
- Пользователь подключается к беспроводной сети, вводит логин и пароль;
- Точка доступа по протоколу RADIUS подключается к компоненту MULTIFACTOR Radius Adapter;
- Компонент проксирует запрос в Network Policy Server;
- NPS проверяет первый фактор — логин и пароль пользователя в домене Active Directory и возвращает ответ компоненту;
- MULTIFACTOR Radius Adapter запрашивает второй фактор на телефоне пользователя и, после подтверждения, разрешает доступ.
Схема сети
В примере показан адрес сервера NPS 192.168.0.1
, который нужно поменять на актуальный для вашей конфигурации.
Компонент Radius Adapter может быть установлен как на сервере с NPS, так и на отдельном. В текущем примере показан вариант развёртывания на одном сервере с использованием порта 1814 для компонента. Этот порт — 1814 UDP должен быть открыт на сервере для подключения точки доступа.
Настройка Radius Adapter
- Загрузите и установите MULTIFACTOR Radius Adapter на сервер с NPS.
- Настройте конфигурацию следующим образом:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<appSettings>
<!-- Адрес и порт (UDP) по которому адаптер будет принимать запросы на аутентификацию от клиентов -->
<!-- Используется нестандартный порт 1814, чтоб не было конфликта с NPS -->
<add key="adapter-server-endpoint" value="192.168.0.1:1814"/>
<!-- shared secret общий для точки доступа, адаптера и NPS -->
<add key="radius-shared-secret" value="SHARED_SECRET"/>
<!-- Где поверять первый фактор: RADIUS -->
<add key="first-factor-authentication-source" value="Radius"/>
<!-- Адрес, с которого адаптер будет обращаться в NPS -->
<add key="adapter-client-endpoint" value="192.168.0.1"/>
<!-- Адрес и порт NPS -->
<add key="nps-server-endpoint" value="192.168.0.1:1812"/>
<!--Multifactor API -->
<add key="multifactor-api-url" value="https://api.multifactor.ru"/>
<add key="multifactor-nas-identifier" value="NAS Identifier из личного кабинета Мультифактора"/>
<add key="multifactor-shared-secret" value="Shared Secret из личного кабинета Мультифактора"/>
<!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
<add key="logging-level" value="Debug"/>
</appSettings>
</configuration>
Настройка Network Policy Server
- В разделе Radius Clients создайте нового клиента:
- Friendly Name: Wifi_MFA
- Address: 192.168.0.1
- Shared secret: из конфигурации адаптера
- Нажмите на NPS (Local), выберите конфигурацию Radius Server for 802.1X Wireless or Wired Connections и нажмите Configure 802.1X:
- Выберите Secure Wireless Connection, Next
- Next
- Выберите Microsoft: Protected EAP (PEAP), Next
- Добавьте группы, если необходимо, Next
- Next
- Finish
Настройка точки доступа
Укажите в настройках Wi-Fi сети:
- Защита: WPA2 Enterprise
- RADIUS-сервер: 192.168.0.1:1814
- Секретный ключ: shared secret из конфигурации адаптера
Последнее обновление 25 декабря 2024 г.