Live Chat Software by Kayako |
|
Настройка 2FA для HostVM VDI по протоколу Radius
Автор Maksim Shumilov, Last modified by Maksim Shumilov на 13 марта 2025 07:55 PM
|
|
Предварительные требования
Настройка на стороне Indeed AM NPS RADIUS Extension 1. В оснастке Network Policy Server создайте новый RADIUS Client, указав имя RADIUS Client’а, IP-адрес и общий секрет 2. Создайте сетевую политику с необходимыми для Вас условиями подключения
Во вкладке Ограничения включите протокол PAP. HostVM VDI версии 3.6 поддерживает только этот протокол проверки подлинности
3. Создайте новое приложение. В MC консоли, во вкладке "Приложения" нажмите кнопку "Добавить приложение", в появившемся окне выберите модуль интеграции NPS RADIUS Extension и дайте название, нажмите кнопку "Создать"
4. Откройте созданное приложение, укажите:
Нажмите "Сохранить"
5. Далее откройте в MC консоли вкладку "Политики", выберите политику (либо, если её нет, то создайте, а затем выберите её), нажмите кнопку "Добавить приложение" и выберите созданное ранее приложение
6. Во вкладке "Область действия" добавьте пользователей (можно также добавить группу из AD), которые в дальнейшем будут аутентифицироваться через Indeed AM
Настройка на стороне HOSTVM VDI 1. Войдите под учетной записью root в web-консоль HOSTVM VDI
2. Зайдите в меню "root", выберите раздел "Панель управления"
3. Выберите раздел Аутентификация ->Аутентификаторы, создайте "Аутентификатор Radius"
4. Заполните необходимые поля в соответствии с документацией вендора HOSTVM. Нажмите на кнопку "Сохранить"
5. Наведите курсор мышки на строку с только что созданным аутентификатором и найдите справа стрелочку, нажмите на нее и зайдите в дополнительное меню аутентификатора
6. Найдите вкладку "Группы", создайте новую группу и нажмите "Ок". Эта группа должна быть указана в поле "Глобальная группа" в основных настройках аутентификатора
Проверка работы сценария 2FA: Windows Password + Indeed Key в приложении HOSTVM VDI 1. В MC консоли, во вкладке "Политики", откройте политику, а затем созданное ранее приложение. В нём во вкладке "Приложения" выберите метод аутентификации "Indeed Key"
2. Произведите вход в приложение HOSTVM VDI под доменным пользователем, используя аутентификацию 2FA: Windows Password + Indeed Key. После ввода логина и пароля должен прийти push-запрос в мобильное приложение Indeed Key, подтвердите его
3. В событиях консоли MC Вы должны увидеть успешное 1000 событие аутентификации
Проверка работы сценария 2FA: Windows Password + Software TOTP в приложении HOSTVM VDI 1. В MC консоли, во вкладке "Политики", откройте политику, а затем созданное ранее приложение. В нём во вкладке "Приложения" выберите метод аутентификации "2FA: Windows Password + Software TOTP"
2. Войдите под учетной записью root в web-консоль HOSTVM VDI и в разделе Аутентификация -> Многофакторная аутентификация добавьте метод "Radius OTP".
3. Заполните необходимые поля. Нажмите на кнопку "Сохранить"
4. Перейдите в раздел Аутентификация ->Аутентификаторы, отредактируйте "Аутентификатор Radius", во вкладке МФА добавьте метод "Radius OTP"
5. Произведите вход в приложение HOSTVM VDI под доменным пользователем, используя аутентификацию 2FA: Windows Password + Software TOTP. После ввода логина и пароля должна появиться форма для ввода OTP-кода, введите его.
6. В событиях консоли MC Вы должны увидеть успешное 1000 событие аутентификации
Настройка таймаута аутентификации По умолчанию при проверке подключения для аутентификатора RADIUS производится 3 попытки по 5 секунд (15 секунд суммарно). Изменить таймаут можно в исходном коде модуля pyrad:
Чтобы изменения вступили в силу нужно перезагрузить сервисы: | |
 (3 голос(а)) |
