Оглавление
- Предварительные требования
- Настройка на стороне NPS сервера и Indeed AM
- Настройка Radius аутентификации в S-Crypto
- Настройка 2FA аутентификации
- Настройка 1FA аутентификации
Предварительные требования
Настройка на стороне Indeed AM NPS RADIUS Extension
- В оснастке Network Policy Server необходимо создать новый RADIUS Client, указав имя RADIUS Client’а, IP-адрес и общий секрет:
- Нужно также создать сетевую политику с необходимыми для Вас условиями подключения:
- Создадим новое приложение. В MC консоли, во вкладке “Приложения” нажмите кнопку “Добавить приложение”, в появившемся окне выберите модуль интеграции NPS RADIUS Extension и дайте название, нажмите кнопку “Создать”:
- Откройте созданное приложение, укажите IP-адрес RADIUS Client’а (тот же самый IP-адрес, что мы указывали в оснастке NPS) и нажмите сохранить:
- Далее откройте в MC консоли вкладку “Политики”, выберите политику (либо, если её нет, то создайте, а затем выберите её), нажмите кнопку “Добавить приложение” и выберите созданное ранее приложение:
- Во вкладке “Область действия” добавьте пользователей (можно также добавить группу из AD), которые в дальнейшем будут аутентифицироваться через Indeed AM:
Настройка Radius аутентификации в S-Crypto
Заходим в S-Crypto VPN Server Manager. Выделяем хост и подключаемся к нему.
Далее создаём/выбираем хаб и открываем его двойным щелчком
Далее в настройках хаба выбираем "Authentication Server Setting (RADIUS)
Задаём IP-адрес Radius сервера, порт, секрет и интервал повторных подключений, рекомендуем задавать значение не ниже 5с.
Далее возвращаемся в настройки виртуального хаба и выбираем раздел "Manage Users".
Выбираем/создаём пользователя, заходим в настройки профиля и в разделе "Тип аутентификации" выбираем Radius аутентификация.
На рабочей станции потребуется создать VPN подключение в S-Crypto VPN Client Manager. Нужно задать адрес VPN сервера, порт, имя хаба, а также задать УЗ пользователя и тип аутентификации Radius.
Настройка 2fa
2FA Аутентификация с использованием TOTP:
- В MC консоли, во вкладке “Политики”, открываем политику, а затем созданное ранее приложение. В нём, во вкладке “Приложения”, выберите метод аутентификации “2FA: One-string authenticator” (в данном сценарии у пользователя заранее должен быть зарегистрирован аутентификатор Software TOTP, на сервере должен быть установлен провайдер MFA, а также настроены политики MFA и Radius MFA):
(Примечание. Обычные 2FA провайдеры использовать возможности нет, т.к. S-Crypto не поддерживает отображение окна Challenge-Response)
Настройки политик MFA:
|