Двухфакторная аутентификация

В статье описаны типы двухфакторной аутентификации в Ideco NGFW и особенности настройки.

Название службы раздела Двухфакторная аутентификация: ideco-web-authd. Список служб для других разделов доступен по .

Двухфакторная аутентификация позволяет аутентифицировать пользователей только внешних сетей (VPN) с использованием второго фактора.

В Ideco NGFW реализовано три типа двухфакторной аутентификации:

TOTP-токен - сканированием QR-кода или с помощью токена;
SMS Aero - при помощи ввода кода из SMS;
Мультифактор - путем подтверждения личности в приложении.

Для входа в личный кабинет Ideco NGFW с использованием Мультифактора необходим доступ в интернет.

Двухфакторная аутентификация для пользователей RADIUS-сервера работает только при авторизации через Ideco Client. Для этого нужно настроить двухфакторную аутентификацию на RADIUS-сервере, о настройке Ideco NGFW - в .

Настройки Ideco NGFW c разными типами аутентификации

Для работы двухфакторной аутентификации выполните действия:

1. Укажите домен Ideco NGFW, чтобы на сервер перенаправлялись запросы двухфакторной аутентификации:

Перейдите в раздел Пользователи -> Авторизация;
Включите веб-аутентификацию;
Введите домен в поле Доменное имя Ideco NGFW.

2. Настройте VPN-подключение в разделе Пользователи -> VPN-подключения -> Основное, воспользовавшись .

3. Перейдите в раздел Пользователи -> Двухфакторная аутентификация. Включите необходимые типы аутентификации и заполните соответствующие поля:

Опция Разрешить инициализацию секретного ключа из внешних сетей разрешит генерацию QR-кода в личном кабинете пользователя из внешней сети.

Видеоинструкцию по настройке двухфакторной аутентификации Ideco NGFW c использованием TOTP-токена смотрите по ссылкам:

При отключении типа аутентификации, который используется в таблице Доступ по VPN, будет выведено предупреждение Используется для доступа по VPN. При этом аутентификация пройдет без второго фактора.

Настройка аутентификации на пользовательских устройствах

Для настройки двухфакторной аутентификации на устройстве пользователя воспользуйтесь инструкциями:

2. Войдите в личный кабинет NGFW, указав логин и пароль пользователя.

3. Нажмите кнопку Настроить двухфакторную аутентификацию и выберите Сгенерировать QR-код:

4. Войдите в приложение для аутентификации (Яндекс Ключ, Google Authenticator или Microsoft Authenticator и т.п.), отсканируйте код или введите секретный ключ, который находится под QR-кодом. При вводе ключа выберите тип ключа По времени. Если выбрать тип По счетчику, то пользователь не сможет пройти аутентификацию.

Если вернуться в личный кабинет, не отсканировав QR-код, то повторно он появится только после сброса секретного ключа в карточке пользователя.

Чтобы сбросить секретный ключ, перейдите в раздел Пользователи -> Учетные записи. Выберите нужного пользователя и нажмите Сбросить секретный ключ:

Особенности использования TOTP-токена:

Для корректной работы необходимо, чтобы время на Ideco NGFW и устройстве пользователя было синхронизировано с точностью до минуты;
Если секретный ключ был сброшен во время аутентификации пользователя и он не смог ее пройти, необходимо удалить сессию пользователя в разделе Мониторинг -> Сессии пользователей. Сессия будет автоматически завершена по истечении десяти минут бездействия.

2. Если требуется использовать подключение только для ресурсов подключаемой сети, убедитесь, что настройки VPN-подключения соответствуют требованиям:

Для Windows 10:

Откройте параметры и перейдите в раздел Сеть и Интернет -> VPN -> Настройка параметров адаптера;
Нажмите правой кнопкой мыши по созданному подключению и выберите Свойства;
Перейдите на вкладку Сеть;
Нажмите на IP версии 4 (TCP/IPv4) -> Свойства -> Дополнительно;
Снимите флаг с пункта Использовать основной шлюз в удаленной сети;
Нажмите ОК.

Для Ubuntu:

Перейдите в раздел Настройки -> Сеть;
Откройте настройки VPN-подключения;
Перейдите на вкладку IPv4;
Установите флаг в пункте Использовать это подключение для ресурсов этой сети.

3. Включите созданное VPN-подключение.

4. Перейдете в браузер, откроется страница аутентификации:

5. Нажмите Отправить код подтверждения. На номер телефона, указанный в учетной записи, придет SMS с кодом:

Если номер телефона в карточке пользователя отсутствует, то на странице аутентификации появится предупреждение:

Если номер телефона сохранен, то на указанный номер телефона поступит SMS. Введите код из SMS и нажмите Подтвердить:

Если код введен неверно, то появится соответствующее предупреждение:

Если код введен верно, то появится окно:

Для настройки таймкодов отправки сообщений перейдите в личный кабинет SMS Aero на вкладку Настройки и переведите опцию Исключать множественную отправку в положение Включен. Затем введите лимит и период отправки сообщений: