Двухфакторная аутентификация Веб-прокси с использованием адаптеров multifactor.ru

У компании ООО «Мультифактор разработаны два адаптера, которые могут быть использованы для аутентификации пользователей на Веб-прокси.

В данном разделе документации мы рассмотрим возможность применения адаптеров multifactor.ru для LDAP-аутентификации пользователей в базе Active Directory с использованием второго фактора.

Примем за вводные условия следующие:

  • домен Active Directory: ztest.int

  • ip адрес контроллера домена, на который установлен адаптер: 192.168.1.3

  • данная платформа поддерживает множество способов для реализации второго фактора аутентификации.

Мы в качестве второго фактора аутентификации мы будем использовать приложение на мобильном телефоне.

Radius - адаптер

MultiFactor Radius Adapter — программный компонент, RADIUS сервер для Windows.

  1. Зарегистрируйтесь в системе управления Мультифактором, создайте информационную систему и ресурсы.

  2. Установите на своем мобильном телефоне приложение для второй фазы аутентификации и настройте, согласно подсказок в личном кабинете при создании пользователя.

  3. Установите адаптер на целевой Windows-сервер согласно инструкций разработчика Мультифактор.

  4. Внесите в конфигурационный файл адаптера MultiFactor.Radius.Adapter.exe.config

    • Укажите NAS Identifier и Shared Secret, созданные в ресурсе личного кабинета.

      <!-- get it from multifactor management panel -->
      <add key="multifactor-nas-identifier" value="rs_1d2f703ffe4f79145d8722f9704b8"/>
      
      <!-- get it from multifactor management panel -->
      <add key="multifactor-shared-secret" value="bff6d05a7d0949bdae1c4basca8de3ce"/>
      
    • Укажите в качестве первого фактора аутентификации использование Active Directory

      <!--One of: ActiveDirectory, ADLDS, Radius, None-->
      <add key="first-factor-authentication-source" value="ActiveDirectory"/>
      
    • Укажите домен Active Directory

      <!--ActiveDirectory authentication source settings-->
      <add key="active-directory-domain" value="ztest.int"/>
      
    • Укажите параметры подключения к Active Directory с контейнером для аутентификации

      <!--AD LDS authentication source settings-->
      <add key="ldap-url" value="ldap://server:port/base_dn"/>
      

      где:

      • схема может быть ldap или ldaps;

      • server — имя сервера или ip адрес;

      • base_dn — distinguished name контейнера с пользователями

      например

      <add key="ldap-url" value="ldap://127.0.0.1:389/CN=Users,DC=ztest,DC=int"/>
      
    • Задайте (сгенерируйте) общий секретный ключ Radius - он нам потребуется для настройки TING.

    <!-- shared secret between this service and radius client -->
    <add key="radius-shared-secret" value="eBah5woo345"/>
    
  5. Запустите адаптер.

  6. Создайте и настройте Radius - коннектор в TING.

    • Поключитесь к устройству TING с помощью ВЕБ-браузера.

    • Перейдите в раздел Система -> Доступ -> Серверы

    • Нажмите +, чтоб создать новый коннетор.

    • Задайте параметры подключения к Radius адаптеру

      _images/radius-connector.png

      где

      • Тип - Radius

      • Имя хоста или IP-адрес - адрес сервера, с установленным адаптером.

      • Общий секретный ключ - ключ, сгенерированный на предыдущем этапе.

    • Нажмите Сохранить

  7. Настройте Веб-прокси на использование созданного коннектора.

    • Перейдите в раздел Службы -> Веб-прокс -> Администрирование -> Настройки аутентификации

    • В пункте Метод аутентификации выберите созданный вами коннектор.

    • Нажмите кнопку Применить

  8. Настройте Веб-браузер на использование настроенного вами прокси-сервера.

Теперь при обращени в сеть интернет у Вас будет использовать 1 фаза аутентификации - наличие пользователя в базе Active Directory (запрос пароля) и вторая фаза - запрос на подключение в приложении на мобильном телефоне.

Настройка закончена.

Примечание

На данный момент использование Radius не позволяет использовать Расширинную фильтрацию веб-прокси

LDAP - адаптер

  1. Зарегистрируйтесь в системе управления Мультифактором, создайте информационную систему и ресурсы.

  2. Установите на своем мобильном телефоне приложение для второй фазы аутентификации и настройте, согласно подсказок в личном кабинете при создании пользователя.

  3. Установите адаптер на целевой Windows-сервер согласно инструкций разработчика.

  4. Внесите в конфигурационный файл адаптера MultiFactor.Ldap.Adapter.exe.config

    • Укажите NAS Identifier и Shared Secret, созданные в ресурсе личного кабинета.

      <!-- get it from multifactor management panel -->
      <add key="multifactor-nas-identifier" value="rs_1d2f703ffe4f79145d8722f9704b8"/>
      
      <!-- get it from multifactor management panel -->
      <add key="multifactor-shared-secret" value="bff6d05a7d0949bdae1c4basca8de3ce"/>
      
    • Укажите адрес и порт (TCP) по которому адаптер будет принимать запросы по протоколу LDAP

      <!--This service LDAP endpoint (0.0.0.0 - listen all interfaces) -->
      <add key="adapter-ldap-endpoint" value="0.0.0.0:389"/>
      

    либо случае использования шифрованого соединения:

    <!--This service LDAPS (TLS) endpoint (0.0.0.0 - listen all interfaces) -->
    <add key="adapter-ldaps-endpoint" value="0.0.0.0:1639"/>
    

    где:

    value - пара, стостящая из IP адреса сервера и номер порта, по которому адаптер будет принимать запросы по протоколу LDAP. Например: value="192.168.1.3:1389"

    Примечание

    Если вы запускаете адаптер на контроллере домена, который является целевым для LDAP запросов, то используйте порт, отличный используемого непосредственно сервером, с целью избежания конфликтов.

    • Укажите адрес или название домена Active Directory, а также схему подключения ldap или ldaps.

      <!--Active Directory IP or domain -->
      <add key="ldap-server" value="ldap://127.0.0.1"/>
      
    • Укажите сервисную учетную запись (bind dn), которой не требуется второй фактор.

      <!--List of service accounts (Bind DN) delmitted by semicolon (option 1)-->
      <add key="ldap-service-accounts" value="multifactoruser"/>
      

      Примечание

      Данный аккаунт должен быть создан в Active Directory и иметь право на выполнение запросов с Active Directory. Он будет использоваться на следующем этапе для настройки LDAP коннектора TING

  5. Запустите адаптер.

  6. Создайте и настройте LDAP - коннектор в TING.

    • Поключитесь к устройству TING с помощью ВЕБ-браузера.

    • Перейдите в раздел Система -> Доступ -> Серверы

    • Нажмите +, чтоб создать новый коннетор.

    • Задайте параметры подключения к LDAP адаптеру

      _images/ldap-connector.png

      где

      • Тип - LDAP

      • Имя хоста или IP-адрес - адрес сервера, с установленным адаптером.

      • Значение порта - номер TCP порта, на котором работает установленный адаптер.

      • Привязать параметры доступа - сервисная учетная запись, созданная на предыдущем шаге, которой не требуется второй фактор - будет использоваться для запросов к Active Directory.

      • Базовый DN - объект каталога, начиная с которого производится поиск.

      • Контейнеры для аутентификации - список контейнеров (OU), в которых расположены пользователи для аутентификации.

      • Начальный шаблон - Microsoft AD.

    • Нажмите Сохранить

  7. Настройте Веб-прокси на использование созданного коннектора.

    • Перейдите в раздел Службы -> Веб-прокс -> Администрирование -> Настройки аутентификации

    • В пункте Метод аутентификации выберите созданный вами коннектор.

    • Нажмите кнопку Применить

Теперь при обращени в сеть интернет у Вас будет использовать 1 фаза аутентификации - наличие пользователя в базе Active Directory (запрос пароля) и вторая фаза - запрос на подключение в приложении на мобильном телефоне.

Настройка закончена.