ID статьи: 644
Последнее обновление: 30 мар, 2023
KnowledgeBase: Product: UserGate NGFW Version: 5.x, 6.x, 7.x Technology: Identification and Authentication
В данном пункте рассмотрена настройка двухфакторной аутентификации с подтверждением (второй фактор аутентификации) кодом TOTP. В качестве примера будет произведена настройка авторизации пользователей домена Active Directory. Добавление сервера авторизацииПерейдите в раздел Пользователи и устройства ➜ Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить ➜ Добавить LDAP коннектор). В свойствах коннектора LDAP укажите необходимые данные. Во вкладке Настройки:
Во вкладке Домены LDAP укажите доменное имя LDAP. Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу. После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение: Сохраните настройки LDAP коннектора. Создание профиля для мультифакторной аутентификации.Для этого перейдите в раздел Пользователи и устройства ➜ Профили MFA и, нажав кнопку Добавить, выберите MFA через TOTP. Укажите необходимые данные и сохраните профиль.
Создание профиля авторизацииДля создания профиля авторизации перейдите в раздел Пользователи и устройства ➜ Профили авторизации. Во вкладке Общие необходимо указать:
Добавьте ранее созданный LDAP коннектор во вкладке Методы аутентификации и сохраните настройки. Создание профиля для Captive-порталаМультифакторная аутентификация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная аутентификация невозможна для методов аутентификации kerberos и NTLM. Для создания captive-профиля перейдите в раздел Пользователи и устройства ➜ Captive-профили, нажмите на кнопку Добавить и в свойствах captive-профиля укажите следующие данные:
Если для авторизации пользователей используется LDAP коннектор, можно отметить чекбокс «Предлагать выбор домена AD/LDAP на странице авторизации». После внесения необходимых настроек сохраните captive-профиль нажатием на кнопку Сохранить. Создание правила Captive-порталаПерейдите в раздел Пользователи и устройства ➜ Captive-портал и создайте правило Сaptive-портала, указав необходимую данные:
Вкладки Источник, Назначение, Категории, URL, Время можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Сохраните правило Сaptive-портала. Настройка DNS для доменов auth.captive и logout.captiveСлужебные доменные имена auth.captive и logout.captive используются UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть. Проверка работы мультифакторной аутентификации.В браузере пользователя перейдите на сайт, например, ya.ru, при этом должна открыться страница авторизации сaptive-портала: После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации: Для получения кода необходимо установить специальное приложение или расширение браузера, предназначенное для генерации кода на основе алгоритма TOTP. Для примера было установлено расширение Аутентификатор в браузер Google Chrome: Добавьте в расширение ключ инициализации TOTP: Расширение браузера Chrome Аутентификатор выдаст временный код для авторизации на портале. Укажите его в поле One Time Password. После его ввода откроется запрошенный сайт ya.ru Для повторной авторизации на Captive-портале необходимо снова воспользоваться расширением Аутентификатор, которое сгенерирует новый код TOTP. Настройка двухфакторной аутентификации через TOTP для подключений по VPNПредполагается, что UserGate-сервер уже настроен для подключения по VPN. Подробнее о настройке читайте в руководстве администратора. Инициализация TOTP производится при VPN-подключении.
Перейдите в раздел Пользователи и устройства ➜ Профили авторизации веб-интерфейса UserGate и добавьте профиль MFA через TOTP в профиль авторизации, использующийся для подключения по VPN (указывается при настройке серверного правила в разделе VPN ➜ Серверные правила).
На сервере UserGate скопируйте URL инициализации TOTP. Для этого перейдите в раздел VPN ➜ Серверные правила, откройте свойства правила, использующегося для подключения по VPN, нажмите URL инициализации TOTP и скопируйте ссылку. Перейдите по ссылке на клиентском компьютере, подключённом по VPN, и пройдите первоначальную инициализацию. После ввода логина и пароля отобразится код и QR-код для инициализации TOTP. Установите специальное приложение или расширение в браузер, которое умеет генерировать код на основе алгоритма TOTP. Укажите ключ инициализации TOTP или сканируйте QR-код, после чего приложение/расширение покажет временный код. Далее используйте данное приложение/расширение для получения токенов TOTP. При следующем VPN-подключении пользователю необходимо указать логин и пароль в формате password:one_time_password. Сбросить ключ TOTP можно в разделе Пользователи и устройства ➜ Пользователи (кнопка Сбросить ключ TOTP).
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 644
Последнее обновление: 30 мар, 2023
Ревизия: 4
Просмотры: 6484
Комментарии: 0
Теги
Также опубликовано в
|