Скачать PDF

Интеграция с RADIUS-сервером

Как настроить интеграцию с RADIUS-сервером и двухфакторную аутентификацию пользователей, а также управлять учетными записями в дереве пользователей Ideco NGFW.

Интеграция с RADIUS-сервером обеспечивает аутентификацию пользователей, данные которых хранятся исключительно на RADIUS-сервере или в базах данных/каталогах, доступных для него.

Через RADIUS-сервер доступна аутентификация только VPN-пользователей NGFW.

Для взаимодействия с основным RADIUS-сервером по умолчанию используется порт 1812.

Настройка интеграции

Для настройки интеграции с RADIUS-сервером выполните действия:

1. Перейдите в раздел Пользователи -> RADIUS и включите опцию RADIUS.

2. Выключите опцию Конвертировать запросы от Ideco NGFW из PAP в MS-CHAP v2 только если необходимо настроить двухфакторную аутентификацию для пользователей RADIUS-сервера.

В остальных случаях оставьте опцию включенной для повышения безопасности и защиты от перехвата паролей между NGFW и RADIUS-сервером, или когда RADIUS-сервер поддерживает только MS-CHAP v2.

Опция влияет только на подключения через Ideco Client, ее переключение никак не влияет на подключение пользователей по другим типам VPN.

3. Заполните поля:

  • Домен или IP-адрес - домен или адрес внутреннего RADIUS-сервера;

  • Секрет - ключ-пароль, который устанавливается на этапе конфигурации RADIUS-сервера;

  • Порт - порт, по которому будет происходить подключение к серверу. Поменяйте при необходимости.

3. Нажмите Сохранить.

При наличии в сети двух RADIUS-серверов настройте один как резервный с указанием порта подключения.

При отсутствии ответа от основного RADIUS-сервера запрос об аутентификации будет перенаправлен на резервный RADIUS-сервер.

При отключенной интеграции с RADIUS-сервером пользователи RADIUS не смогут аутентифицироваться на NGFW.

Ideco NGFW также поддерживает интеграцию с RADIUS-администраторами. Подробные инструкции по настройке описаны в статье Администраторы.

Двухфакторная аутентификация

Двухфакторная аутентификация для пользователей RADIUS-сервера доступна только при авторизации через Ideco Client.

По умолчанию Ideco Client использует для аутентификации на внешнем сервере протокол MS-CHAP v2. При отключении опции Конвертировать запросы от Ideco NGFW из PAP в MS-CHAP v2 запросы аутентификации от Ideco Client к внешнему серверу будут выполняться по протоколу PAP. Для всех прочих VPN-подключений продолжает работать только MS-CHAP v2 независимо от настройки.

Если необходимо обеспечить для пользователей RADIUS-сервера двухфакторную аутентификацию:

1. В веб-интерфейсе Ideco NGFW в разделе Пользователи -> RADIUS отключите опцию Конвертировать запросы от Ideco NGFW из PAP в MS-CHAP v2: с использованием MS-CHAP v2 проверку второго фактора обеспечить невозможно.

2. Настройте RADIUS-сервер на работу с протоколом PAP.

3. Настройте на RADIUS-сервере механизм двухфакторной аутентификации. Настраивать 2FA на Ideco NGFW не нужно.

Механизм добавления пользователей в дерево пользователей Ideco NGFW

1. При подключении пользователя к Ideco NGFW происходит поиск пользователя в дереве пользователей NGFW.

2. Если учетная запись не будет найдена в дереве пользователей, NGFW отправит запрос к RADIUS-серверу на аутентификацию пользователя.

3. При отсутствии группы RADIUS на Ideco NGFW группа будет пересоздаваться при аутентификации пользователей RADIUS-сервера.

4. После аутентификации пользователь будет добавлен в группу RADIUS на Ideco NGFW.

Если пользователь уже есть в группе RADIUS, то запрос на аутентификацию сразу будет отправлен на RADIUS-сервер.

Группу и пользователей RADIUS можно использовать для создания правил фильтрации трафика и других задач.

Ограничения для группы и пользователей RADIUS:

  • Запрещено менять параметры пользователя (в том числе поля Имя и Комментарий), за исключением опции Запретить доступ;

  • Разрешено удалять и переименовывать группу RADIUS;

  • Запрещено удалять пользователей;

  • Запрещено перемещать пользователей в другие группы;

  • Запрещено перемещать других пользователей NGFW в группу RADIUS;

  • Запрещена настройка IP и MAC авторизации для пользователей группы;

  • Недоступна авторизация пользователей группы в личном кабинете и веб-почте.

PreviousСкрипты автоматической разавторизацииNextALD Pro

Last updated

Was this helpful?