Настройка 2FA для ViPNet Client по протоколу Radius - Портал технической поддержки

База знаний

6С чего начать? 31Indeed Privileged Access Manager 75Indeed Certificate Manager 182Indeed Access Manager 8 46Indeed Access Manager 7 235Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам

База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами

Настройка 2FA для ViPNet Client по протоколу Radius

Автор Maksim Shumilov, Last modified by Maksim Shumilov на 23 июня 2025 10:20 AM

Предварительные требования

Установленный и настроенный Indeed AM 8.2.2 и выше.
Установленный и настроенный Indeed AM NPS RADIUS Extension (10.20.1.16).
Установленный и настроенный Indeed Key сервер и Indeed Key провайдер.
Установленный провайдер Indeed AM Software TOTP.
Установленный ViPNet Сервер многофакторной аутентификации 1.1.1 и выше (10.20.1.26).
Установленный ViPNet Client Enterprise 4.14 (5.0) и выше.

Настройка на стороне Indeed AM NPS RADIUS Extension

1. В оснастке Network Policy Server создайте новый RADIUS Client, указав имя RADIUS Client’а, IP-адрес и общий секрет

2. Создайте сетевую политику с необходимыми для Вас условиями подключения.

Во вкладке Ограничения включите протокол PAP. В данный момент Сервер многофакторной аутентификации ViPNet поддерживает только этот протокол проверки подлинности

3. Создайте новое приложение. В MC консоли, во вкладке "Приложения" нажмите кнопку "Добавить приложение", в появившемся окне выберите модуль интеграции NPS RADIUS Extension и задайте название, нажмите кнопку "Создать"

4. Откройте созданное приложение, укажите:

IP-адрес RADIUS Client’а (тот же самый IP-адрес, что мы указывали в оснастке NPS);
"Да" в поле "Включить обнаружение и обработку дубликатов запросов на аутентификацию";
Значения "1, 265" в поле "Атрибуты запроса для поиска дубликатов";
"Discard" в поле "Тип ответа на дубликаты запросов".

Нажмите "Сохранить"

5. Далее откройте в MC консоли вкладку "Политики", выберите политику (либо, если её нет, то создайте, а затем выберите её), нажмите кнопку "Добавить приложение" и выберите созданное ранее приложение

6. Во вкладке "Область действия" добавьте пользователей (можно также добавить группу из AD), которые в дальнейшем будут аутентифицироваться через Indeed AM

Настройка на стороне ViPNet Сервер многофакторной аутентификации

1. Аутентифицируйтесь на Сервере многофакторной аутентификации, откройте файл конфигурации user.properties, расположенный по пути /opt/vmfa-server/etc/, и задайте следующие настройки:

SERVER_PORT — порт сервера аутентификации. По умолчанию — 8070;
RADIUS_HOST — адрес узла, на котором установлен Indeed NPS RADIUS Extension;
RADIUS_PORT — UDP-порт для приёма запросов от пользователей ViPNet Client, которым назначена многофакторная аутентификация. Рекомендуемое значение — 1812;
RADIUS_SECRET — секретная фраза для работы сервера аутентификации с Network Policy Server;
SET_SERVER_TIMEOUT – время ожидания ответа от сервера аутентификации в ViPNet Client в секундах. Вы можете установить значение от 1 до 180. Рекомендуемое значение — 30;
ALLOW_RESTART_IN - время, через которое доступна повторная аутентификация в ViPNet Client, в секундах. Вы можете установить значение от 1 до 300. По умолчанию — 5

2. Выполните перезапуск сервиса vmfa-server командой:

sudo systemctl restart vmfa-server.service

Проверка работы сценария 2FA: Windows Password + Indeed Key в приложении ViPNet Client

1. В MC консоли, во вкладке "Политики", откройте политику, а затем созданное ранее приложение. В нём во вкладке "Приложения" выберите метод аутентификации "2FA: Windows Password + Indeed Key (Push)"

2. Зайдите в приложение ViPNet Client и аутентифицируйтесь под доменной учетной записью, используя метод аутентификации 2FA: Windows Password + Indeed Key (Push). После ввода логина и пароля должен прийти push-запрос в мобильное приложение Indeed Key, подтвердите его

3. В событиях MC консоли Вы должны увидеть успешное 1000 событие аутентификации

Проверка работы сценария 2FA: Windows Password + Software TOTP в приложении ViPNet Client

2. Добавьте Административные шаблоны групповых политик (ADMX).

2.1. В GPO выберите Конфигурация компьютера > Административные шаблоны > Indeed ID > RADIUS (политика должна примениться на сервере с модулем NPS RADIUS Extension).

2.2. Выберите каталог с названием аутентификатора, который хотите настроить (в данный момент мы настраиваем Software TOTP).

2.3. Включите параметр Challenge\Response: сообщение пользователю.

2.4. Задайте сообщение пользователю на Eng-раскладке, например, «OTP:»

3. Зайдите в приложение ViPNet Client и аутентифицируйтесь под доменной учетной записью, используя метод аутентификации 2FA: Windows Password + Software TOTP. После ввода логина и пароля должна появиться форма для ввода OTP-кода, введите его

4. В событиях MC консоли Вы должны увидеть успешное 1000 событие аутентификации

(0 голос(а))

Эта статья полезна

Эта статья бесполезна

Комментарии (0)

Портал технической поддержки компании Индид