База знаний
6С чего начать? 32Indeed Privileged Access Manager 71Indeed Certificate Manager 171Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам
База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами
Настройка 2FA для S-Crypto VPN
Автор Kirill Osipov, Last modified by Kirill Osipov на 29 октября 2024 12:07 PM

Оглавление

  1. Предварительные требования
  2. Настройка на стороне NPS сервера и Indeed AM
  3. Настройка Radius аутентификации в S-Crypto
  4. Настройка 2FA аутентификации
  5. Настройка 1FA аутентификации

Предварительные требования

Настройка на стороне Indeed AM NPS RADIUS Extension

  1. В оснастке Network Policy Server необходимо создать новый RADIUS Client, указав имя RADIUS Client’а, IP-адрес и общий секрет:
  2. Нужно также создать сетевую политику с необходимыми для Вас условиями подключения:

  3. Создадим новое приложение. В MC консоли, во вкладке “Приложения” нажмите кнопку “Добавить приложение”, в появившемся окне выберите модуль интеграции NPS RADIUS Extension и дайте название, нажмите кнопку “Создать”:


  4. Откройте созданное приложение, укажите IP-адрес RADIUS Client’а (тот же самый IP-адрес, что мы указывали в оснастке NPS) и нажмите сохранить:

  5. Далее откройте в MC консоли вкладку “Политики”, выберите политику (либо, если её нет, то создайте, а затем выберите её), нажмите кнопку “Добавить приложение” и выберите созданное ранее приложение:


  6. Во вкладке “Область действия” добавьте пользователей (можно также добавить группу из AD), которые в дальнейшем будут аутентифицироваться через Indeed AM:

Настройка Radius аутентификации в S-Crypto

Заходим в S-Crypto VPN Server Manager. Выделяем хост и подключаемся к нему.

Далее создаём/выбираем хаб и открываем его двойным щелчком

Далее в настройках хаба выбираем "Authentication Server Setting (RADIUS)

Задаём IP-адрес Radius сервера, порт, секрет и интервал повторных подключений, рекомендуем задавать значение не ниже 5с.

Далее возвращаемся в настройки виртуального хаба и выбираем раздел "Manage Users".

Выбираем/создаём пользователя, заходим в настройки профиля и в разделе "Тип аутентификации" выбираем Radius аутентификация.

На рабочей станции потребуется создать VPN подключение в S-Crypto VPN Client Manager.
Нужно задать адрес VPN сервера, порт, имя хаба, а также задать УЗ пользователя и тип аутентификации Radius.

Настройка 2fa

2FA Аутентификация с использованием TOTP:

  1. В MC консоли, во вкладке “Политики”, открываем политику, а затем созданное ранее приложение. В нём, во вкладке “Приложения”, выберите метод аутентификации “2FA: One-string authenticator” (в данном сценарии у пользователя заранее должен быть зарегистрирован аутентификатор Software TOTP, на сервере должен быть установлен провайдер MFA, а также настроены политики MFA и Radius MFA):

    (Примечание. Обычные 2FA провайдеры использовать возможности нет, т.к. S-Crypto не поддерживает отображение окна Challenge-Response)

    Настройки политик MFA:



    Или, чтобы не использовать при вводе пароля разделитель, можно настроить политику длины OTP, в таком случае система будет понимать какая часть в заданном пароле отвечает за OTP.



  2. В оснастке NPS должна быть включена настройка “Проверять подлинность запросов на этом сервере”:
    (в данной конфигурации, требуется чтобы у пользователя была настроена персонализация, т.е. доменный пароль был записан в БД Indeed)


    Если же персонализации нет, то требуется выключить проверку подлинности.



    После данных настроек, можно пробовать аутентифицироваться в VPN приложении S-Crypto.
    Нужно ввести учетную запись, а в поле пароля ввести доменный пароль, разделитель, TOTP из приложения. Пример: password\567342.
    Если же задана политика длины OTP в 6 символов, пример: password567342
    (разделитель или длина OTP задается в политике, упомянутой выше)




2FA Аутентификация с использованием PUSH:

  1. В MC консоли, во вкладке “Политики”, открываем политику, а затем созданное ранее приложение. В нём, во вкладке “Приложения”, выберите метод аутентификации “2FA: Windows Password + Indeed Key (Push)” (в данном сценарии у пользователя заранее должен быть зарегистрирован аутентификатор Indeed key):

  2. В оснастке NPS должна быть включена настройка “Проверять подлинность запросов на этом сервере”:


    После данных настроек, можно пробовать аутентифицироваться в VPN приложении S-Crypto.
    Нужно ввести учетную запись, а в поле пароля ввести доменный пароль, после данных действий на смартфон придёт пуш уведомление в приложении Indeed key, его нужно открыть и нажать кнопку Подтвердить.




Настройка 1fa

  1. В MC консоли, во вкладке “Политики”, открываем политику, а затем созданное ранее приложение. В нём во вкладке “Приложения” выберите метод аутентификации “1FA: Software TOTP” (в данном сценарии у пользователя заранее должен быть зарегистрирован аутентификатор Software TOTP):

  2. В оснастке NPS должна быть включена настройка “Проверять подлинность запросов на этом сервере”:
    (в данной конфигурации, требуется чтобы у пользователя была настроена персонализация, т.е. доменный пароль был записан в БД Indeed)

    Если же персонализации нет, то в оснастке NPS должна быть включена настройка “Принимать пользователей без проверки учетных данных”:



    После данных настроек, можно пробовать аутентифицироваться в VPN приложении S-Crypto.
    Нужно ввести учетную запись, а в поле пароля ввести TOTP из приложения.



Дополнительно

Персонализация - это доменный пароль пользователя, записанный в базу данных AM.

Персонализацию для пользователя можно получить одним из следующих способов:

  1. Авторизоваться под необходимым пользователем в консоль UC, нажать на провайдер "Windows Password", выбрать "Зарегистрировать" и ввести повторно Windows Password;

  2. Начать вход на ВМ с установленным Windows Logon, указать необходимого пользователя, выбрать любой метод аутентификации (не Windows Password!), ввести к нему аутентификатор и войти в систему;

    Примечание: возникнет ожидаемая ошибка о рассинхроне паролей, необходимо нажать ОК и ввести Windows Password.

  3. Отправить API запрос (postman). Например:

    1. Выполнить цепочку запросов для аутентификации в приложение Windows Logon методом Windows Password, после чего задать пароль запросом /userAccount/setPassword

  4. Использовать утилиту сброса пароля (будет сгенерирован случайный пароль)

(2 голос(а))
Эта статья полезна
Эта статья бесполезна
Комментарии (0)
Портал технической поддержки компании Индид