Мультифакторная аутентификация с подтверждением через одноразовые временные пароли (TOTP)

ID статьи: 644
Последнее обновление: 30 мар, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 5.x, 6.x, 7.x
Technology: Identification and Authentication

В данном пункте рассмотрена настройка двухфакторной аутентификации с подтверждением (второй фактор аутентификации) кодом TOTP. В качестве примера будет произведена настройка авторизации пользователей домена Active Directory.

Добавление сервера авторизации

Перейдите в раздел Пользователи и устройства ➜ Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить ➜ Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

  • Название сервера авторизации.

  • Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

  • Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image75

Во вкладке Домены LDAP укажите доменное имя LDAP.

image76

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

image77

Сохраните настройки LDAP коннектора.

Создание профиля для мультифакторной аутентификации.

Для этого перейдите в раздел Пользователи и устройства ➜ Профили MFA и, нажав кнопку Добавить, выберите MFA через TOTP. Укажите необходимые данные и сохраните профиль.

  • Название профиля MFA.

  • Инициализация TOTP: выберите Показать ключ на странице Captive-портала.

  • Показывать QR-код: отметьте чекбокс для возможности сканирования кода.

image78

Создание профиля авторизации

Для создания профиля авторизации перейдите в раздел Пользователи и устройства ➜ Профили авторизации. Во вкладке Общие необходимо указать:

  • Название профиля авторизации.

  • Созданный ранее Профиль MFA.

Добавьте ранее созданный LDAP коннектор во вкладке Методы аутентификации и сохраните настройки.

image79

Создание профиля для Captive-портала

Мультифакторная аутентификация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная аутентификация невозможна для методов аутентификации kerberos и NTLM.

Для создания captive-профиля перейдите в раздел Пользователи и устройства ➜ Captive-профили, нажмите на кнопку Добавить и в свойствах captive-профиля укажите следующие данные:

  • Название captive-профиля.

  • Шаблон страницы авторизации: выберите шаблон, например, «Captive portal user auth (RU)».

  • Метод идентификации: выберите Запоминать IP-адрес.

  • Созданный ранее Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, можно отметить чекбокс «Предлагать выбор домена AD/LDAP на странице авторизации». После внесения необходимых настроек сохраните captive-профиль нажатием на кнопку Сохранить.

image80

Создание правила Captive-портала

Перейдите в раздел Пользователи и устройства ➜ Captive-портал и создайте правило Сaptive-портала, указав необходимую данные:

  • Название правила captive-портала.

  • Созданный ранее Captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Сохраните правило Сaptive-портала.

image81

Настройка DNS для доменов auth.captive и logout.captive

Служебные доменные имена auth.captive и logout.captive используются UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

Проверка работы мультифакторной аутентификации.

В браузере пользователя перейдите на сайт, например, ya.ru, при этом должна открыться страница авторизации сaptive-портала:

image82

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации:

image83

Для получения кода необходимо установить специальное приложение или расширение браузера, предназначенное для генерации кода на основе алгоритма TOTP. Для примера было установлено расширение Аутентификатор в браузер Google Chrome:

image84

Добавьте в расширение ключ инициализации TOTP:

image85

Расширение браузера Chrome Аутентификатор выдаст временный код для авторизации на портале. Укажите его в поле One Time Password. После его ввода откроется запрошенный сайт ya.ru

Для повторной авторизации на Captive-портале необходимо снова воспользоваться расширением Аутентификатор, которое сгенерирует новый код TOTP.

Настройка двухфакторной аутентификации через TOTP для подключений по VPN

Предполагается, что UserGate-сервер уже настроен для подключения по VPN. Подробнее о настройке читайте в руководстве администратора.

Инициализация TOTP производится при VPN-подключении.

  1. Подключитесь по VPN.

  2. Добавить профиль MFA.

Перейдите в раздел Пользователи и устройства ➜ Профили авторизации веб-интерфейса UserGate и добавьте профиль MFA через TOTP в профиль авторизации, использующийся для подключения по VPN (указывается при настройке серверного правила в разделе VPN ➜ Серверные правила).

  1. Пройти инициализацию.

На сервере UserGate скопируйте URL инициализации TOTP. Для этого перейдите в раздел VPN ➜ Серверные правила, откройте свойства правила, использующегося для подключения по VPN, нажмите URL инициализации TOTP и скопируйте ссылку.

image369

Перейдите по ссылке на клиентском компьютере, подключённом по VPN, и пройдите первоначальную инициализацию.

image370

После ввода логина и пароля отобразится код и QR-код для инициализации TOTP.

image371

Установите специальное приложение или расширение в браузер, которое умеет генерировать код на основе алгоритма TOTP.

Укажите ключ инициализации TOTP или сканируйте QR-код, после чего приложение/расширение покажет временный код. Далее используйте данное приложение/расширение для получения токенов TOTP.

При следующем VPN-подключении пользователю необходимо указать логин и пароль в формате password:one_time_password.

Сбросить ключ TOTP можно в разделе Пользователи и устройства ➜ Пользователи (кнопка Сбросить ключ TOTP).

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 644
Последнее обновление: 30 мар, 2023
Ревизия: 4
Просмотры: 6484
Комментарии: 0
Теги

Также опубликовано в