Настройка 2FA для Континент 4.2 по протоколу Radius
Автор Maksim Shumilov, Last modified by Maksim Shumilov на 07 августа 2025 02:41 PM

Предварительные требования

Настройка на стороне Indeed AM NPS RADIUS Extension

1. В оснастке Network Policy Server создайте новый RADIUS Client, указав имя RADIUS Client’аIP-адрес и общий секрет

2. Создайте сетевую политику с необходимыми для Вас условиями подключения

Во вкладке Ограничения включите протокол PAP. Континент версии 4.2.1 поддерживает только этот протокол проверки подлинности

3. Создайте новое приложение. В MC консоли, во вкладке "Приложения" нажмите кнопку "Добавить приложение", в появившемся окне выберите модуль интеграции NPS RADIUS Extension и дайте название, нажмите кнопку "Создать"

4. Откройте созданное приложение, укажите:

  • IP-адрес RADIUS Client’а (тот же самый IP-адрес, что мы указывали в оснастке NPS);
  • "Да" в поле "Включить обнаружение и обработку дубликатов запросов на аутентификацию";
  • Значения "1, 265" в поле "Атрибуты запроса для поиска дубликатов";
  • "Discard" в поле "Тип ответа на дубликаты запросов".

Нажмите "Сохранить"

5. Далее откройте в MC консоли вкладку "Политики", выберите политику (либо, если её нет, то создайте, а затем выберите её), нажмите кнопку "Добавить приложение" и выберите созданное ранее приложение

6. Во вкладке "Область действия" добавьте пользователей (можно также добавить группу из AD), которые в дальнейшем будут аутентифицироваться через Indeed AM

Настройка на стороне Континента

Для работы двухфакторной аутентификации через RADUIS в комплексе Континент 4.2.1 настройте:

1. Компонент Сервер доступа.

2. Профиль RADIUS.

3. Политику удаленного доступа и правила фильтрации на межсетевом экране.

3.1. Вариант 1:  для всех пользователей RADIUS одинаковый доступ.

3.2. Вариант 2: для разных групп пользователей разный доступ.

4. Экспорт профиля для удаленного пользователя и его импорт на клиенте Континент ZTN.

1. Включение компонента Сервер доступа

Включите компонент Сервера доступа в свойствах ноды

Добавьте серверный сертификат (с типом Сервер доступа) и Корневой ГОСТ сертификат, которым подписан серверный.

Имя серверного сертификата будет являться FQDN именем для подключения и должно резолвиться на адрес, прописанный на континенте, или на тот адрес, через который настроен dNAT в сторону интерфейса Континента.

В имени сертификата допускается использование ip адреса в явном виде (напр. 1.1.1.1)

В свойствах Сервера доступа добавьте DNS (который будут получать удаленные пользователи при создании туннеля)

2. Настройка профиля RADIUS

Перейдите в Администрирование - RADIUS и в верхней панели меню выберите Создать профиль.

Заполните данные и добавьте RADIUS сервер.
Рекомендуемые значения параметров в секции Ограничения: Количество попыток ввода - 1, Время ожидания аутентификации - 30. Это позволит убрать возможные проблемы с дубликатами при использовании Push-аутентификаторов Indeed Key.
При вводе "Пароль" и "Подтверждение" укажите Секретный ключ от RADIUS сервера

Перейдите в Структуру и откройте Свойства ноды с Сервером доступа. Выберите Параметры аутентификации. Выберите внутри созданный профиль RADIUS

3. Настройка политики удаленного доступа

3.1. Вариант №1: где все удаленные пользователи, подключенные через RADIUS, имеют одинаковые права доступа

В том же окне перейдите на вкладку Сервер доступа.

Выставьте Метод аутентификации - RADIUS.

Добавьте подсеть, выдаваемую удаленным пользователям.

Проверьте пул адресов для пользователей RADIUS

Перейдите в Виртуальные частные сети и создайте правило.

Сперва в правиле выберите метод аутентификации, далее Отправитель заполнится автоматически (менять его нельзя).

Выберите сетевые объекты для доступа

Настройте правила фильтрации на Межсетевом экране.

Для пропуска трафика удалённых пользователей через Межсетевой экран создайте правило:

Отправитель - созданная подсеть для удаленных пользователей;

Получатель - доступы, которые мы ранее предоставляли;

Сервис - протоколы и порты, по которым разрешаем доступ;

Действие - пропустить;

Установить - нода с сервером доступа

Установите политику на узел с Сервером доступа.

3.2. Вариант №2: для разных групп пользователей разный доступ

Создайте LDAP или LDAPs профиль.

Перейдите в Администрирование - LDAP. В верхнем меню выберите создать новый профиль.

Заполните необходимые данные.

Пользователь должен иметь права на чтение в MS AD. Рекомендуем заранее создать сервисного пользователя для этих целей

Прежде чем приступить к импорту групп, присвойте созданный профиль нашему узлу с сервером доступа

Установите политику.

После установки приступите к импорту нужных групп с AD

Перейдите в Свойства Сервера доступа.

Установите Метод аутентификации LDAP.

Создайте новый пул адресов для удалённых пользователей и добавьте в него импортированные группы

В политике удалённого доступа создайте правило или несколько правил с разными доступами.

Для возможности выбора доменных групп сперва выберите Метод аутентификации

Если в правилах фильтрации будете использовать объекты с доменными группами пользователей, то включите компонент Идентификация пользователей на узле с Сервером доступа

Затем перейдите в правила фильтрации на Межсетевом экране и создайте правила:

Отправитель - необходимые группы пользователей из AD;

Получатель - доступы, которые мы ранее предоставляли;

Сервис - протоколы и порты, по которым разрешаем доступ;

Действие - пропустить;

Установить - нода с сервером доступа

Установите политику на узел с Сервером доступа.

4. Экспорт профиля для удалённого доступа и его импорт на клиенте Континент ZTN

Для распространения удалённым пользователям файла конфигурации с настройкой для клиента ZTN экспортируйте профиль

После установки клиента Континент ZTN запустите клиент с правами Администратора для снятия проверки CRL

Континент ZTN запускается в трее. Одним нажатием левой кнопкой мыши по иконке откройте окно с интерфейсом ПО

Перейдите в настройки

Откройте вкладку Сертификаты и отключите проверку подлинности сертификатов, иначе Сервер доступа будет делать эту проверку самостоятельно при каждой попытке подключения

Импортируйте ранее созданный профиль

Откажитесь от проверки подключения. Перейдите в редактирование профиля.

Добавьте имя пользователя (обязательно полное с доменом) и пароль

Проверка работы сценария 2FA: Windows Password + Indeed Key в приложении Континент ZTN клиент

1. В MC консоли, во вкладке "Политики", откройте политику, а затем созданное ранее приложение. В нём во вкладке "Приложения" выберите метод аутентификации "2FA: Windows Password + Indeed Key (Push)"

2. Откройте интерфейс приложения Континент ZTN клиент и нажмите кнопку "Подключиться". В мобильное приложение Indeed Key должен прийти push-запрос, подтвердите его

3. После успешной аутентификации в интерфейсе приложения Континент ZTN клиент Вы теперь должны увидеть статус "Подключен", а в событиях MC консоли -  успешное 1000 событие аутентификации

Проверка работы сценария 2FA: Windows Password + Software TOTP в приложении Континент ZTN клиент

1. В MC консоли, во вкладке "Политики", откройте политику, а затем созданное ранее приложение. В нём во вкладке "Приложения" выберите метод аутентификации "2FA: Windows Password + Software TOTP"

2. Откройте интерфейс приложения Континент ZTN клиент и нажмите кнопку "Подключиться", должна появиться форма для ввода OTP-кода, введите его

3. После успешной аутентификации в интерфейсе приложения Континент ZTN клиент Вы теперь должны увидеть статус "Подключен", а в событиях MC консоли -  успешное 1000 событие аутентификации

(2 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Портал технической поддержки компании Индид