Настройка 2FA для S-Crypto VPN
Автор Kirill Osipov, Last modified by Kirill Osipov на 29 октября 2024 12:07 PM

Оглавление

  1. Предварительные требования
  2. Настройка на стороне NPS сервера и Indeed AM
  3. Настройка Radius аутентификации в S-Crypto
  4. Настройка 2FA аутентификации
  5. Настройка 1FA аутентификации

Предварительные требования

Настройка на стороне Indeed AM NPS RADIUS Extension

  1. В оснастке Network Policy Server необходимо создать новый RADIUS Client, указав имя RADIUS Client’а, IP-адрес и общий секрет:
  2. Нужно также создать сетевую политику с необходимыми для Вас условиями подключения:

  3. Создадим новое приложение. В MC консоли, во вкладке “Приложения” нажмите кнопку “Добавить приложение”, в появившемся окне выберите модуль интеграции NPS RADIUS Extension и дайте название, нажмите кнопку “Создать”:


  4. Откройте созданное приложение, укажите IP-адрес RADIUS Client’а (тот же самый IP-адрес, что мы указывали в оснастке NPS) и нажмите сохранить:

  5. Далее откройте в MC консоли вкладку “Политики”, выберите политику (либо, если её нет, то создайте, а затем выберите её), нажмите кнопку “Добавить приложение” и выберите созданное ранее приложение:


  6. Во вкладке “Область действия” добавьте пользователей (можно также добавить группу из AD), которые в дальнейшем будут аутентифицироваться через Indeed AM:

Настройка Radius аутентификации в S-Crypto

Заходим в S-Crypto VPN Server Manager. Выделяем хост и подключаемся к нему.

Далее создаём/выбираем хаб и открываем его двойным щелчком

Далее в настройках хаба выбираем "Authentication Server Setting (RADIUS)

Задаём IP-адрес Radius сервера, порт, секрет и интервал повторных подключений, рекомендуем задавать значение не ниже 5с.

Далее возвращаемся в настройки виртуального хаба и выбираем раздел "Manage Users".

Выбираем/создаём пользователя, заходим в настройки профиля и в разделе "Тип аутентификации" выбираем Radius аутентификация.

На рабочей станции потребуется создать VPN подключение в S-Crypto VPN Client Manager.
Нужно задать адрес VPN сервера, порт, имя хаба, а также задать УЗ пользователя и тип аутентификации Radius.

Настройка 2fa

2FA Аутентификация с использованием TOTP:

  1. В MC консоли, во вкладке “Политики”, открываем политику, а затем созданное ранее приложение. В нём, во вкладке “Приложения”, выберите метод аутентификации “2FA: One-string authenticator” (в данном сценарии у пользователя заранее должен быть зарегистрирован аутентификатор Software TOTP, на сервере должен быть установлен провайдер MFA, а также настроены политики MFA и Radius MFA):

    (Примечание. Обычные 2FA провайдеры использовать возможности нет, т.к. S-Crypto не поддерживает отображение окна Challenge-Response)

    Настройки политик MFA: