В данном пункте рассмотрена настройка двухфакторной аутентификации с подтверждением (второй фактор аутентификации) кодом TOTP. В качестве примера будет произведена настройка авторизации пользователей домена Active Directory.

Добавление сервера авторизации

Перейдите в раздел Пользователи и устройства ➜ Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить ➜ Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

Название сервера авторизации.
Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.
Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.
Пароль пользователя для подключения к домену.

Во вкладке Домены LDAP укажите доменное имя LDAP.

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

Сохраните настройки LDAP коннектора.

Создание профиля для мультифакторной аутентификации.

Для этого перейдите в раздел Пользователи и устройства ➜ Профили MFA и, нажав кнопку Добавить, выберите MFA через TOTP. Укажите необходимые данные и сохраните профиль.

Название профиля MFA.
Инициализация TOTP: выберите Показать ключ на странице Captive-портала.
Показывать QR-код: отметьте чекбокс для возможности сканирования кода.

Создание профиля авторизации

Для создания профиля авторизации перейдите в раздел Пользователи и устройства ➜ Профили авторизации. Во вкладке Общие необходимо указать:

Название профиля авторизации.
Созданный ранее Профиль MFA.

Добавьте ранее созданный LDAP коннектор во вкладке Методы аутентификации и сохраните настройки.

Создание профиля для Captive-портала

Мультифакторная аутентификация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная аутентификация невозможна для методов аутентификации kerberos и NTLM.

Для создания captive-профиля перейдите в раздел Пользователи и устройства ➜ Captive-профили, нажмите на кнопку Добавить и в свойствах captive-профиля укажите следующие данные:

Название captive-профиля.
Шаблон страницы авторизации: выберите шаблон, например, «Captive portal user auth (RU)».
Метод идентификации: выберите Запоминать IP-адрес.
Созданный ранее Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, можно отметить чекбокс «Предлагать выбор домена AD/LDAP на странице авторизации». После внесения необходимых настроек сохраните captive-профиль нажатием на кнопку Сохранить.

Создание правила Captive-портала

Перейдите в раздел Пользователи и устройства ➜ Captive-портал и создайте правило Сaptive-портала, указав необходимую данные:

Название правила captive-портала.
Созданный ранее Captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Сохраните правило Сaptive-портала.

Настройка DNS для доменов auth.captive и logout.captive

Служебные доменные имена auth.captive и logout.captive используются UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

Проверка работы мультифакторной аутентификации.

В браузере пользователя перейдите на сайт, например, ya.ru, при этом должна открыться страница авторизации сaptive-портала:

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации:

Для получения кода необходимо установить специальное приложение или расширение браузера, предназначенное для генерации кода на основе алгоритма TOTP. Для примера было установлено расширение Аутентификатор в браузер Google Chrome:

Добавьте в расширение ключ инициализации TOTP:

Расширение браузера Chrome Аутентификатор выдаст временный код для авторизации на портале. Укажите его в поле One Time Password. После его ввода откроется запрошенный сайт ya.ru

Для повторной авторизации на Captive-портале необходимо снова воспользоваться расширением Аутентификатор, которое сгенерирует новый код TOTP.

Настройка двухфакторной аутентификации через TOTP для подключений по VPN

Предполагается, что UserGate-сервер уже настроен для подключения по VPN. Подробнее о настройке читайте в руководстве администратора.

Инициализация TOTP производится при VPN-подключении.

Подключитесь по VPN.
Добавить профиль MFA.

Перейдите в раздел Пользователи и устройства ➜ Профили авторизации веб-интерфейса UserGate и добавьте профиль MFA через TOTP в профиль авторизации, использующийся для подключения по VPN (указывается при настройке серверного правила в разделе VPN ➜ Серверные правила).

Пройти инициализацию.

На сервере UserGate скопируйте URL инициализации TOTP. Для этого перейдите в раздел VPN ➜ Серверные правила, откройте свойства правила, использующегося для подключения по VPN, нажмите URL инициализации TOTP и скопируйте ссылку.

Перейдите по ссылке на клиентском компьютере, подключённом по VPN, и пройдите первоначальную инициализацию.

После ввода логина и пароля отобразится код и QR-код для инициализации TOTP.

Установите специальное приложение или расширение в браузер, которое умеет генерировать код на основе алгоритма TOTP.

Укажите ключ инициализации TOTP или сканируйте QR-код, после чего приложение/расширение покажет временный код. Далее используйте данное приложение/расширение для получения токенов TOTP.

При следующем VPN-подключении пользователю необходимо указать логин и пароль в формате password:one_time_password.

Сбросить ключ TOTP можно в разделе Пользователи и устройства ➜ Пользователи (кнопка Сбросить ключ TOTP).