Live Chat Software by Kayako |
Настройка 2FA на шлюзе NGate (веб-интерфейс) по протоколу RADIUS, NPS + Indeed AM Radius Extension
Автор Denis Shelamov, Last modified by Denis Shelamov на 28 ноября 2023 06:10 PM
|
|
В примере рассмотрена минимальная конфигурация шлюза NGate: узел NGate объединен с Системой управления. Предварительные требования: Служба каталогов Microsoft Active Directory Карта сети, для примера настройки:
Настройка NPS Server: Для настройки сценария двухфакторной аутентификации, по протоколу RADIUS, необходимо, на NPS Windows Server, на котором в дальнейшем планируется установка компонента Indeed AM Radius Extension – прописать радиус клиент Ngate по IP или DNS: 10.10.10.51 / ngate.indeed.local
Создаем политику запросов на подключение: Добавляем «Условия». На вкладке «Параметры», оставляем значения по умолчанию.
Создаем Сетевую политику: Указываем целевую группу пользователей: Настраиваем методы проверки подлинности: Настройка NGate: Переходим в NGate Control Panel. В нашем случае http://ngate.indeed.local:8000 в раздел:
Добавляем IP-адрес Radius сервера, настроенный ранее, с указанием порта и общего секрета: По умолчанию для публикации и аутентификации на портале User authentication type: LDAP Если ранее не был прописан LDAP сервер – прописываем его в External Services > LDAP Servers: Прописываем DNS и NTP сервера: В разделе Certificates, добавляем необходимые корневые, промежуточные и сертификаты для публикации портала: Далее, настраиваем конфигурацию в кластере: В разделе ACLs конфигурации – указываем группы пользователей AD, для которых предоставляется доступ на портал по LDAP:
В разделе External Services активной конфигурации, указываем ранее прописанные сервера: Публикуем настроенную конфигурацию: Проверяем работу аутентификации, через радиус, на портале https://webng.indeed.local Успешно заходим на ресурс, получая следующее сообщение: Проверяем успешность входа в Windows Event Logs на NPS сервере:
Сервер сетевых политик предоставил доступ пользователю.
Пользователь: ИД безопасности: INDEED\user8 Имя учетной записи: user8@indeed.local Домен учетной записи: INDEED Полное имя учетной записи: indeed.local/Indeed/user8
Клиентский компьютер: ИД безопасности: NULL SID Имя учетной записи: - Полное имя учетной записи: - Идентификатор вызываемой станции: - Идентификатор вызывающей станции: -
NAS: IPv4-адрес NAS: 10.10.10.51 IPv6-адрес NAS: - Идентификатор NAS: - Тип порта NAS: - Порт NAS: 0
RADIUS-клиент: Понятное имя клиента: Ngate IP-адрес клиента: 10.10.10.51
Сведения о проверке подлинности: Имя политики запросов на подключение: Использовать проверку подлинности Windows для всех пользователей Имя политики сети: Radius (VPN) без 2FA Поставщик проверки подлинности: Windows Сервер проверки подлинности: IndeedAM.indeed.local Тип проверки подлинности: PAP Тип EAP: - Идентификатор сеанса учетной записи: - Результаты ведения журнала: Сведения об учетных данных были записаны в локальный файл журнала.
Далее, приступаем к настройке 2FA, с установкой и настройкой компонента Indeed AM Radius Extension, на сервере NPS (Если она не была произведена ранее).
В зависимости от используемых аутентификаторов, прописываем необходимые DN групп и ID провайдеров. В данном руководстве мы рассмотрим 3 варианта аутентификаторов, настроенные на 3 разных группы пользователей: Для работы первых двух методов, используем ранее установленные настройки: При аутентификации пользователем, входящим в первую группу, после ввода доменного логина и пароля – выводится окно OTP, где необходимо ввести аутентификатор TOTP.
После ввода, которого успешно попадаем на портал:
В Windows Event Log видим информацию о предоставлении доступа: Также в аудите событий Indeed AM Management Console: При аутентификации пользователя, входящим во вторую группу, после ввода доменного логина и пароля, в приложение Indeed Key на телефоне, приходит push уведомление. После подтверждения, успешно заходим на портал:
В Windows Event Log видим информацию о предоставлении доступа: Событие в Indeed AM Management Console:
Для работы 3го варианта аутентификации пользователей, из соответствующей группы, нужно создать новую политику «1FA» на NPS сервере, отключив ранее используемую политику:
При аутентификации пользователя, входящим в третью группу, после ввода доменного логина, вместо доменного пароля необходимо ввести ранее зарегистрированный OTP из приложения:
В Windows Event Log видим информацию о предоставлении доступа: Событие в Indeed AM Management Console:
| |
|