27 октября 2022

Настройка двухфакторной аутентификации по VPN

Континент 4 - MultiFactor

Содержание

Настройка многофакторной аутентификации
Получение второго фактора

Запросить триальные лицензии вы можете заполнив форму

Аутентификация является одной из базисных мер информационной безопасности. Аутентификацией считается доказательство того, что вы на самом деле есть тот, от чьего имени идентифицируетесь в системе. Наиболее распространены два вида аутентификации пользователей: аутентификация по паролю и аутентификация по сертификату.

Но будем честны, на сегодняшний день аутентификация по одному фактору (логин/пароль, сертификат) не является безопасной. Есть ряд причин:
1. Человеческий фактор
Люди редко используют сложные пароли и, как правило, редко из меняют.

2. Возможности злоумышленников
Возможности злоумышленников растут и украсть пароль не предоставляет сложности.

Уверены ли вы, что ваши пароли уже не украдены? TS Scan покажет, какие учетные записи ваших пользователей скомпрометированы.

Одним из вариантов решения проблемы безопасности паролей может служить система многофакторной аутентификации.

В этой статье мы покажем, как организовать двухфакторную аутентификацию при организации удаленного доступа с помощью Континент 4 и Multifactor.

Подробнее о данных системах:

Запросить триальные лицензии вы можете заполнив форму

Настройка многофакторной аутентификации

Для настройки многофакторной аутентификации средствами Континент 4 и Multifactor требуется:
1. Создать проект в системе MultiFactor

2. Добавить ресурс с произвольным типом привязки

3. На стороне Multifactor получить и настроить LDAP Adapter. MultiFactor LDAP Adapter – программный компонент, LDAP proxy сервер для Windows.

Компонент доступен вместе с исходным кодом и распространяется бесплатно. Актуальная версия находится на GitHub: код и сборка.

Данный компонент устанавливается на любой Windows Server начиная с версии 2008 R2. Для одновременной работы 1500 пользователей минимальными требованиями к серверу являются: 2 CPU, 4 GB RAM, 40 GB HDD.

Сервер, на который устанавливается компонент, должен прослушивать TCP/389 (LDAP), TCP/636 (LDAPS) соединения. Для взаимодействия с Active Directory, компоненту нужен доступ к серверу домена по протоколам TCP/389 (LDAP), TCP/636. Для подключения к системе Multifactor на сервере с установленным компонентом, должен быть доступ к api.multifactor.ru по протоколу TCP/443 (TLS).

После скачивания компонента LDAP Adapter его необходимо настроить. Общие параметры находятся в файле MultiFactor.Ldap.Adapter.exe.config:


<!-- Адрес и порт (TCP), по которому адаптер будет принимать запросы по протоколу LDAP -->
<!-- Если указать адрес 0.0.0.0, то адаптер будет слушать все сетевые интерфейсы -->
<add key="adapter-ldap-endpoint" value="0.0.0.0:389"/>


<!-- Адрес и порт (TCP), по которому адаптер будет принимать запросы по зашифрованному протоколу LDAPS -->
<!-- Если указать адрес 0.0.0.0, то адаптер будет слушать все сетевые интерфейсы -->
<add key="adapter-ldaps-endpoint" value="0.0.0.0:636"/>


<!-- Адрес или название домена Active Directory, а также схема подключения ldap или ldaps -->
<add key="ldap-server" value="ldaps://domain.local"/>


<!-- Список сервисных учетных записей (bind dn), которым не требуется второй фактор, перечисленные через точку с запятой -->
<add key="ldap-service-accounts" value="CN=Service Acc,OU=Users,DC=domain,DC=local"/>


<!-- Или OU сервисных учетных записей, которым не требуется второй фактор -->
<add key="ldap-service-accounts-ou" value="OU=Service Accounts"/>


<!-- Разрешать доступ только пользователям из указанной группы (не проверяется, если удалить настройку) -->
<add key="active-directory-group" value="MyApp Users"/>
<!-- Запрашивать второй фактор только у пользователей из указанной группы (второй фактор требуется всем, если удалить настройку) -->
<add key="active-directory-2fa-group" value="MyApp 2FA Users"/>
<!-- Не запрашивать второй фактор у пользователей из указанной группы (в том числе, если пользователь одновременно находится в группе, заданной в active-directory-2fa-group) -->
<add key="active-directory-2fa-bypass-group" value="Bypass 2FA Users"/>


<!-- Адрес API Мультифактора -->
<add key="multifactor-api-url" value="https://api.multifactor.ru"/>
<!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-nas-identifier" value=""/>
<!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета -->
<add key="multifactor-shared-secret" value=""/>


<!--Доступ к API Мультифактора через HTTP прокси (опционально)-->
<!-- <add key="multifactor-api-proxy" value="http://proxy:3128"/> -->


<!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
<add key="logging-level" value="Debug"/>

Важными для взаимодействия Континент 4 и Multifactor являются следующие настройки:

4. Запустите MultiFactor.Ldap.Adapter.exe от имени администратора:

LDAP Adapter запущен и готов к работе

Далее на стороне Континент 4 необходимо настроить подключение к серверу с установленным компонентом LDAP Adapter:

1. В разделе «Администрирование» - «LDAP» указать данные для подключения к серверу

LDAP-профиль в Континент 4 может функционировать ТОЛЬКО по протоколу LDAPS.

2. Далее необходимо импортировать группы пользователей:

Обратите внимание, что компонент LDAP Adapter видит обращения на импорт пользователей:

3. В списках объектов ЦУС во вкладке «Пользователи» появятся импортированные группы:

Далее можно приступить к формированию правил подключения по VPN и настройке ACL для VPN пользователей. Подробнее об этом смотрите здесь.

Получение второго фактора

Удаленным пользователям необходимо выслать ссылку для настройки аутентификации. Ссылку можно оправить на почту через систему MultiFactor:

В результате в момент подключения удаленным пользователям потребуется подтвердить подключение через приложение/Telegram.

Таким образом получается настроить двухфакторную аутентификацию для VPN пользователей, используя Континент 4 и Multifactor

Автор статьи: Дмитрий Лебедев, инженер TS Solution.