В примере рассмотрена минимальная конфигурация шлюза NGate: узел NGate объединен с Системой управления.

Предварительные требования:

Служба каталогов Microsoft Active Directory
Подсеть домена: 10.10.10.0
DNS Server: 10.10.10.11 (Windows Server)
RADIUS Server: 10.10.10.12 (Windows Server)
NGate 1.0 R2 Server: 10.10.10.51 (Debian Linux)
IP-адрес 10.10.10.51, имеет следующие DNS-записи: ngate.indeed.local, webng.indeed.local
Доступ к NGate Control Panel: http://ngate.indeed.local:8000
Клиентский доступ к опубликованным приложениям: https://webng.indeed.local:443

Карта сети, для примера настройки:

Настройка NPS Server:

Для настройки сценария двухфакторной аутентификации, по протоколу RADIUS, необходимо, на NPS Windows Server, на котором в дальнейшем планируется установка компонента Indeed AM Radius Extension – прописать радиус клиент Ngate по IP или DNS: 10.10.10.51 / ngate.indeed.local

Создаем политику запросов на подключение:

Добавляем «Условия». На вкладке «Параметры», оставляем значения по умолчанию.

Создаем Сетевую политику:

Указываем целевую группу пользователей:

Настраиваем методы проверки подлинности:

Настройка NGate:

Переходим в NGate Control Panel. В нашем случае http://ngate.indeed.local:8000 в раздел:
External Services > Radius Servers

Добавляем IP-адрес Radius сервера, настроенный ранее, с указанием порта и общего секрета:

По умолчанию для публикации и аутентификации на портале User authentication type: LDAP

Если ранее не был прописан LDAP сервер – прописываем его в External Services > LDAP Servers:

Прописываем DNS и NTP сервера:

В разделе Certificates, добавляем необходимые корневые, промежуточные и сертификаты для публикации портала:

Далее, настраиваем конфигурацию в кластере:

В разделе ACLs конфигурации – указываем группы пользователей AD, для которых предоставляется доступ на портал по LDAP:

В разделе External Services активной конфигурации, указываем ранее прописанные сервера:

Публикуем настроенную конфигурацию:

Проверяем работу аутентификации, через радиус, на портале https://webng.indeed.local

Успешно заходим на ресурс, получая следующее сообщение:

Проверяем успешность входа в Windows Event Logs на NPS сервере:

Лог следующего вида говорит нам об успешной настройке по Radius протоколу:

Сервер сетевых политик предоставил доступ пользователю.

Пользователь:

                ИД безопасности:                                             INDEED\user8

                Имя учетной записи:                                       user8@indeed.local

                Домен учетной записи:                                   INDEED

                Полное имя учетной записи:         indeed.local/Indeed/user8

Клиентский компьютер:

                ИД безопасности:                                             NULL SID

                Имя учетной записи:                                       -

                Полное имя учетной записи:         -

                Идентификатор вызываемой станции:                      -

                Идентификатор вызывающей станции:                     -

NAS:

                IPv4-адрес NAS:                 10.10.10.51

                IPv6-адрес NAS:                 -

                Идентификатор NAS:                                      -

                Тип порта NAS:                                  -

                Порт NAS:                                           0

RADIUS-клиент:

                Понятное имя клиента:                   Ngate

                IP-адрес клиента:                                             10.10.10.51

Сведения о проверке подлинности:

                Имя политики запросов на подключение: Использовать проверку подлинности Windows для всех пользователей

                Имя политики сети:                          Radius (VPN) без 2FA

                Поставщик проверки подлинности:                            Windows

                Сервер проверки подлинности:                   IndeedAM.indeed.local

                Тип проверки подлинности:                          PAP

                Тип EAP:                                              -

                Идентификатор сеанса учетной записи:                   -

                Результаты ведения журнала:                                     Сведения об учетных данных были записаны в локальный файл журнала.

Далее, приступаем к настройке 2FA, с установкой и настройкой компонента Indeed AM Radius Extension, на сервере NPS (Если она не была произведена ранее).
Подробная настройка доступна в документации Indeed AM NPS RADIUS Extension

В зависимости от используемых аутентификаторов, прописываем необходимые DN групп и ID провайдеров.

В данном руководстве мы рассмотрим 3 варианта аутентификаторов, настроенные на 3 разных группы пользователей:
1. Windows Password + TOTP Challenge\Response (с выводом окна второго фактора)
2. Windows Password + Push (подтверждение по уведомлению в приложении Indeed Key)
3. Domain Login + TOTP (режим 1FA, ввод OTP вместо доменного пароля, без вывода окна 2го фактора)

Для работы первых двух методов, используем ранее установленные настройки:

При аутентификации пользователем, входящим в первую группу, после ввода доменного логина и пароля – выводится окно OTP, где необходимо ввести аутентификатор TOTP.

После ввода, которого успешно попадаем на портал:

В Windows Event Log видим информацию о предоставлении доступа:

Также в аудите событий Indeed AM Management Console:

При аутентификации пользователя, входящим во вторую группу, после ввода доменного логина и пароля, в приложение Indeed Key на телефоне, приходит push уведомление. После подтверждения, успешно заходим на портал:

В Windows Event Log видим информацию о предоставлении доступа:

Событие в Indeed AM Management Console:

Для работы 3го варианта аутентификации пользователей, из соответствующей группы, нужно создать новую политику «1FA» на NPS сервере, отключив ранее используемую политику:

При аутентификации пользователя, входящим в третью группу, после ввода доменного логина, вместо доменного пароля необходимо ввести ранее зарегистрированный OTP из приложения:

В Windows Event Log видим информацию о предоставлении доступа:

Событие в Indeed AM Management Console: