База знаний
6С чего начать? 31Indeed Privileged Access Manager 71Indeed Certificate Manager 175Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам
База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами
Настройка 2FA КриптоПРО NGate с NPS RADIUS Extension
Автор Maksim Efanov, Last modified by Maksim Efanov на 06 февраля 2024 11:36 AM

Предварительные требования

  • Установленный и настроенный сервер Indeed AM 8.2+
  • Развернутая роль "Сервер политики сети" (NPS)
  • Установленный и настроенный Indeed AM NPS RADIUS Extension (метод проверки подлинности в политике сети - PAP)
  • Установленный и настроенный КриптоПРО NGate (создан кластер и конфигурация, настроены порталы и ресурсы).
  • На машине, с которой будет осуществляться подключение, установленный браузер с поддержкой ГОСТ, КриптоПРО CSP и клиент КриптоПРО NGate.
  • На клиентских машинах - поддержка шифров ГОСТ

Интеграция с NPS RADIUS Extension

Настройка на стороне КриптоПРО NGate

  1. Переходим на Web-портал NGate.
  2. Выбираем "RADIUS Servers" и нажимаем +
  3. Задаем параметры. Таймаут необходимо повысить до минимум 30 секунд.
  4. Переходим в необходимую конфигурацию > External Services и нажимаем Assign напротив RADIUS Server. 
  5. Выбираем необходимый сервер и подтверждаем.
  6. Переходим на вкладку "Portals" и создаем/редактируем HTTP портал.
  7. Убеждаемся, что в "External Services" заданы необходимые RADIUS и LDAP серверы, а на вкладке "Resources" заданы ресурсы и жмем кнопку редактирования портала.
  8. Выбираем "Use RADIUS", нажимаем "Advanced settings" и выбираем "Send password to RADIUS". "RADIUS login format" можно задать просто {login}, тогда на NPS будет передаваться только то, что было введено в поле логина (то есть имя). Если нужно использовать, например, UPN, можно дописать домен, как на скриншоте ниже.
  9. Публикуем конфигурацию.

Настройка на стороне Indeed

  1. Заходим в Консоль Администратора Indeed (https://server_fqdn/am/mc)
  2. Переходим в раздел "Приложения" > "Создать приложение" > Вводим название приложения > "Создать"
  3. Переходим на вкладку "RADIUS", задаем IP шлюза NGate и нажимаем "Сохранить".
  4. Переходим в "Политики" > *нужная политика* > "Приложения" > "Добавить приложение" > Выбираем созданное ранее приложение > "Добавить"
  5. Заходим в приложение, выбираем метод аутентификации "2FA: Windows Password + Software TOTP" и нажимаем "Сохранить"

Результаты

Примеры работы приведены для "2FA: Windows Password + Software TOTP", однако можно настроить и другие цепочки аутнетификации. Например, Windows Password + Indeed Key, 1FA Software TOTP и т.д.

Приложение КриптоПРО NGate

Для успешного подключения должен быть создан туннель на стороне NGate.

  1. Вводим адрес NGate и нажимаем "Подключить"
  2. Вводим доменные учетные данные
  3. Вводим одноразовый пароль из приложения (должен быть зарегистрирован заранее пользователю в MC/UC/"Управлении аутентификаторами")
  4. Успешный вход

Веб-интерфейс КриптоПРО NGate

  1. Входим на Web-портал.
  2. Вводим доменные учетные данные.
  3. Вводим одноразовый пароль
  4. Получаем доступ к ресурсам

При успешном входе будет сгенерировано событие в журналах NPS

(12 голос(а))
Эта статья полезна
Эта статья бесполезна
Комментарии (0)
Портал технической поддержки компании Индид