Мультифакторная аутентификация с подтверждением через одноразовые временные пароли (TOTP)

В данном пункте рассмотрена настройка двухфакторной аутентификации с подтверждением (второй фактор аутентификации) кодом TOTP. В качестве примера будет произведена настройка авторизации пользователей домена Active Directory.

Добавление сервера авторизации

Перейдите в раздел Пользователи и устройства ➜ Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить ➜ Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

• Название сервера авторизации.

• Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

• Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

• Пароль пользователя для подключения к домену.

Во вкладке Домены LDAP укажите доменное имя LDAP.

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

Сохраните настройки LDAP коннектора.

Создание профиля для мультифакторной аутентификации.

Для этого перейдите в раздел Пользователи и устройства ➜ Профили MFA и, нажав кнопку Добавить, выберите MFA через TOTP. Укажите необходимые данные и сохраните профиль.

• Название профиля MFA.

• Инициализация TOTP: выберите Показать ключ на странице Captive-портала.

• Показывать QR-код: отметьте чекбокс для возможности сканирования кода.

Создание профиля авторизации

Для создания профиля авторизации перейдите в раздел Пользователи и устройства ➜ Профили авторизации. Во вкладке Общие необходимо указать:

• Название профиля авторизации.

• Созданный ранее Профиль MFA.

Добавьте ранее созданный LDAP коннектор во вкладке Методы аутентификации и сохраните настройки.

Создание профиля для Captive-портала

Мультифакторная аутентификация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная аутентификация невозможна для методов аутентификации kerberos и NTLM.

Для создания captive-профиля перейдите в раздел Пользователи и устройства ➜ Captive-профили, нажмите на кнопку Добавить и в свойствах captive-профиля укажите следующие данные:

• Название captive-профиля.

• Шаблон страницы авторизации: выберите шаблон, например, «Captive portal user auth (RU)».

• Метод идентификации: выберите Запоминать IP-адрес.

• Созданный ранее Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, можно отметить чекбокс «Предлагать выбор домена AD/LDAP на странице авторизации». После внесения необходимых настроек сохраните captive-профиль нажатием на кнопку Сохранить.

Создание правила Captive-портала

Перейдите в раздел Пользователи и устройства ➜ Captive-портал и создайте правило Сaptive-портала, указав необходимую данные:

• Название правила captive-портала.

• Созданный ранее Captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Сохраните правило Сaptive-портала.

Настройка DNS для доменов auth.captive и logout.captive

Служебные доменные имена auth.captive и logout.captive используются UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

Проверка работы мультифакторной аутентификации.

В браузере пользователя перейдите на сайт, например, ya.ru, при этом должна открыться страница авторизации сaptive-портала:

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации:

Для получения кода необходимо установить специальное приложение или расширение браузера, предназначенное для генерации кода на основе алгоритма TOTP. Для примера было установлено расширение Аутентификатор в браузер Google Chrome:

Добавьте в расширение ключ инициализации TOTP:

Расширение браузера Chrome Аутентификатор выдаст временный код для авторизации на портале. Укажите его в поле One Time Password. После его ввода откроется запрошенный сайт ya.ru

Для повторной авторизации на Captive-портале необходимо снова воспользоваться расширением Аутентификатор, которое сгенерирует новый код TOTP.