База знаний
6С чего начать? 30Indeed Privileged Access Manager 68Indeed Certificate Manager 141Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 2Документация по продуктам
База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами
Настройка 2fa для С-Терра VPN.
Автор Nikita Kim, Last modified by Nikita Kim на 25 января 2024 02:42 PM

Оглавление:

  1. Предварительные требования.
  2. Настройка взаимодействия с Radius-сервером.
  3. Настройка xAuth.
  4. Добавление Radius-приложения в NPS Radius Extention.
  5. Проверка двухфакторной аутентификации.

Предварительные требования.

  1. Настроенные компоненты Indeed: сервер и NPS Extension.
  2. Выполнена установка и настройка роли Служба политики сети и доступа (Network Policy and Access Services (NPS)), возможна установка роли на сервере Indeed AM.
    Создана сетевая политика, политика запросов на подключение, определен метод аутентификации по-умолчанию. В сетевой политике в качестве EAP выбран только PAP.
  3. Настроенный УЦ для IPsec, с поддержкой шифрования ГОСТ-Р, на базе "КриптоПро" УЦ 2.0 или Microsoft CA совместно с СКЗИ "КриптоПро" CSP 4.0 (или новее).
  4. Настроен S-Terra Gate согласно с документацией.
  5. Настроен S-Terra Client согласно с документацией.

Настройка взаимодействия с Radius-сервером.

  1. В режиме Cisco-like создайте новую модель для взаимодействия с Radius-сервером при помощи следующих команд:
    aaa new-model
    aaa authentication login RADIUS1 group radius
    Где RADIUS1- пример наименования списка методов аутентификации для использования в криптокарте
  2. Задайте адрес и секретный ключ Radius-сервера следующими командами:
    radius-server host <ip-Шлюза>
    radius-server key <секретный ключ Radius-сервера>
    *По умолчанию для авторизации и аутентификации Radius-сервер использует порт 1645, а для учёта активности IPsec соединений- 1646. Чтобы задать собственный порт, используйте следующую команду:
    radius-server host <ip-Шлюза> auth-port <требуемый порт> acct-port <требуемый порт>.

Настройка xAuth.

  1. Инициируйте конфигурацию вашей динамической криптокарты:
    crypto dynamic-map <название криптокарты>
  2. Включите поддержку xAuth:
    set client authentication xauth
  3. В конфигурации терминала задайте сообщение пользователю при помощи данной команды:
    aaa authentication banner "Put your message here"

Добавление Radius-приложения в NPS Radius Extention.

  1. В mc добавьте приложение NPS Radius Extention и дайте ему название



  2. В настройках приложения укажите адрес Radius-клиента.



  3. Создайте политику в mc и добавьте туда созданное Radius-приложение. Назначьте приложению способ аутентификации.



Проверка двухфакторной аутентификации.

  1. Запустите S-Terra Client, и авторизуйтесь в него.
  2. При подключении к VPN появится следующее окно авторизации, введите в него доменные данные пользователя.



  3. Далее появится окно с запросом 2-го фактора. Введите в него свой одноразовый пароль.



    После успешного входа в mc отобразиться событие с id 1000






(3 голос(а))
Эта статья полезна
Эта статья бесполезна
Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: