Данный раздел описывает настройку профилей мультифакторной аутентификации с использованием CLI. Настройка профилей MFA производится на уровне users mfa-profiles. Можно создать несколько типов профилей:

MFA через TOTP: использование токена TOTP (Time-based One Time Password) в качестве второго фактора аутентификации.
MFA через email: использование одноразового пароля, полученного по email, в качестве второго фактора аутентификации.
MFA через SMS: использование одноразового пароля, полученного по SMS, в качестве второго фактора аутентификации.

Команда для удаления профиля мультифакторной аутентификации:

Admin@UGOS# delete users mfa-profiles <mfa-name>

Для отображения информации о всех профилях или об определённом профиле MFA используются следующие команды:

Admin@UGOS# show users mfa-profiles
Admin@UGOS# set users mfa-profilesz <mfa-name>

Настройка MFA через TOTP

В зависимости от выбранного способа получения первоначального кода для инициализации TOTP (на странице Captive-портала, по email, по SMS) будет доступен разный список параметров, которые необходимо указать. Получение возможно:

по email:
Admin@UGOS# create users mfa-profiles mfa-totp smtp
по SMS:
Admin@UGOS# create users mfa-profiles mfa-totp smpp
отображение на странице Captive-портала после первой успешной авторизации:
Admin@UGOS# create users mfa-profiles mfa-totp key-on-captiveportal

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Название профиля MFA.
description	Описание профиля MFA.
totp-qr-code	QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента.
notification-sender	Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля).
notification-subject	Тема оповещения при использовании оповещений по email.
notification-body	Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-totp <mfa-totp-name>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Настройка MFA через email

Команда для добавления нового профиля мультифакторной аутентификации через email:

Admin@UGOS# create users mfa-profiles mfa-email smtp <smtp-profile>

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Название профиля MFA.
description	Описание профиля MFA.
notification-sender	Email отправителя сообщения.
notification-subject	Тема оповещения.
notification-body	Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").
code-lifetime	Срок действия одноразового пароля; указывается в секундах.

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-email <mfa-email-profile>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Настройка MFA через SMS

Команда для добавления нового профиля мультифакторной аутентификации через SMS:

Admin@UGOS# create users mfa-profiles mfa-sms smpp <smpp-profile>

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Название профиля MFA.
description	Описание профиля MFA.
notification-sender	Имя отправителя сообщения.
notification-body	Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").
code-lifetime	Срок действия одноразового пароля; указывается в секундах.