В статье описаны типы двухфакторной аутентификации в Ideco NGFW и особенности настройки.
Название службы раздела Двухфакторная аутентификация: ideco-web-authd.
Список служб для других разделов доступен по ссылке.
Двухфакторная аутентификация позволяет аутентифицировать пользователей только внешних сетей (VPN) с использованием второго фактора.
В Ideco NGFW реализовано три типа двухфакторной аутентификации:
Двухфакторная аутентификация для пользователей RADIUS-сервера работает только при авторизации через Ideco Client. Для этого нужно настроить двухфакторную аутентификацию на RADIUS-сервере, о настройке Ideco NGFW - в статье.
Настройки Ideco NGFW c разными типами аутентификации
Для работы двухфакторной аутентификации выполните действия:
1. Укажите домен в Ideco NGFW для перенаправления запроса двухфакторной аутентификации с IP-адреса Ideco NGFW:
3. Перейдите в раздел Пользователи -> VPN-подключения -> Двухфакторная аутентификация. Включите необходимые типы аутентификации и заполните соответствующие поля:
TOTP-токен
Для корректной работы двухфакторной аутентификации с использованием TOTP-токена необходимо, чтобы совпадало время на Ideco NGFW и устройстве пользователя с приложением для второго фактора.
Флаг Разрешить инициализацию секретного ключа из внешних сетей разрешит генерацию QR-кода в личном кабинете пользователя из внешней сети.
Видеоинструкция по настройке двухфакторной аутентификации Ideco NGFW c использованием TOTP-токена:
2. Введите E-mail и API-ключ от личного кабинета SMS Aero. API-ключ можно найти в разделе Настройки -> API и SMPPI.
3. Нажмите Сохранить.
Видеоинструкция по настройке двухфакторной аутентификации Ideco NGFW c использованием SMS Aero:
Мультифактор
Помимо приложения Multifactor для аутентификации можно использовать Telegram, Яндекс.Ключ, Биометрию и U2F. Подробное описание регистрации и аутентификации этими методами доступно в документации Multifactor.
2. Заполните API Key и API Secret. Для этого скопируйте значение полей в личном кабинете пользователя Multifactor в разделе Настройки -> Расширенное API -> Включить API.
3. Нажмите Сохранить.
Для дальнейшей аутентификации пользователям потребуется установить и настроить приложения, указанные администратором в настройках группы. Корректировать способы аутентификации для пользователей можно в личном кабинете Multifactor, в разделе Группы -> Параметры -> Редактировать.
Видеоинструкция по настройке двухфакторной аутентификации Ideco NGFW c использованием Мультифактора:
4. Разрешите доступ по VPN нужным группам пользователей в таблице Доступ по VPN, воспользовавшись инструкцией.
При отключении типа аутентификации, который используется в таблице Доступ по VPN, будет выведено предупреждение Используется для доступа по VPN. При этом аутентификация пройдет без второго фактора.
Настройка аутентификации на пользовательских устройствах
Для настройки двухфакторной аутентификации на устройстве пользователя воспользуйтесь инструкциями:
TOTP-токен
1. Настройте VPN-подключение на устройстве пользователя, воспользовавшись инструкцией.
2. Войдите в личный кабинет NGFW, указав логин и пароль пользователя.
3. Нажмите кнопку Настроить двухфакторную аутентификацию и выберите Сгенерировать QR-код:
4. Войдите в приложение для аутентификации (Яндекс Ключ, Google Authenticator или Microsoft Authenticator и т.п.), отсканируйте код или введите секретный ключ, который находится под QR-кодом. При вводе ключа выберите тип ключа По времени. Если выбрать тип По счетчику, то пользователь не сможет пройти аутентификацию. Убедитесь, что время на устройстве пользователя с приложением и на Ideco NGFW совпадает.
Если вернуться в личный кабинет, не отсканировав QR-код, то повторно он появится только после сброса секретного ключа в карточке пользователя.
5. Подключитесь к VPN и откройте любой сайт, не использующий HSTS
(например, neverssl.com). В появившемся поле введите код, который вы получили в приложении:
Чтобы сбросить секретный ключ TOTP-токена, который сгенерировал пользователь, перейдите в раздел Пользователи -> Учетные записи. Выберите нужного пользователя и нажмите Сбросить секретный ключ:
SMS Aero
1. Настройте VPN-подключение на устройстве пользователя, воспользовавшись инструкцией.
2. Если требуется использовать подключение только для ресурсов подключаемой сети, убедитесь, что настройки VPN-подключения соответствуют требованиям:
Для Windows 10:
Откройте параметры и перейдите в раздел Сеть и Интернет -> VPN -> Настройка параметров адаптера;
Нажмите правой кнопкой мыши по созданному подключению и выберите Свойства;
Перейдите на вкладку Сеть;
Нажмите на IP версии 4 (TCP/IPv4) -> Свойства -> Дополнительно;
Снимите флаг с пункта Использовать основной шлюз в удаленной сети;
Нажмите ОК.
Для Ubuntu:
Перейдите в раздел Настройки -> Сеть;
Откройте настройки VPN-подключения;
Перейдите на вкладку IPv4;
Установите флаг в пункте Использовать это подключение для ресурсов этой сети.
3. Включите созданное VPN-подключение.
4. Перейдете в браузер, откроется страница аутентификации:
5. Нажмите Отправить код подтверждения. На номер телефона, указанный в учетной записи, придет SMS с кодом:
Если номер телефона в карточке пользователя отсутствует, то на странице аутентификации появится предупреждение:
Если номер телефона сохранен, то на указанный номер телефона поступит SMS. Введите код из SMS и нажмите Подтвердить:
Если код введен неверно, то появится соответствующее предупреждение:
Если код введен верно, то появится окно:
Для настройки таймкодов отправки сообщений перейдите в личный кабинет SMS Aero на вкладку Настройки и переведите опцию Исключать множественную отправку в положение Включен. Затем введите лимит и период отправки сообщений:
Мультифактор
1. Настройте VPN-подключение на устройстве пользователя, воспользовавшись инструкцией.
2. Включите созданное VPN-подключение.
3. При переходе в браузер откроется страница аутентификации:
4. После нажатия Далее появится страница с предложением установить приложение на устройство пользователя. Если приложение установлено, нажмите Далее.
5. Отсканируйте QR-код или откройте ссылку, которая появится на экране.
6. Нажмите Выполнить вход:
7. В окне Двухфакторная аутентификация выберите способ аутентификации:
8. В зависимости от выбранного способа подтвердите вход.