Интеграция с RADIUS-сервером
Как настроить интеграцию с RADIUS-сервером и двухфакторную аутентификацию пользователей, а также управлять учетными записями в дереве пользователей Ideco NGFW.
Last updated
Was this helpful?
Как настроить интеграцию с RADIUS-сервером и двухфакторную аутентификацию пользователей, а также управлять учетными записями в дереве пользователей Ideco NGFW.
Last updated
Was this helpful?
Интеграция с RADIUS-сервером обеспечивает аутентификацию пользователей, данные которых хранятся исключительно на RADIUS-сервере или в базах данных/каталогах, доступных для него.
Через RADIUS-сервер доступна аутентификация только VPN-пользователей NGFW.
Для взаимодействия с основным RADIUS-сервером по умолчанию используется порт 1812.
Для настройки интеграции с RADIUS-сервером выполните действия:
1. Перейдите в раздел Пользователи -> RADIUS и включите опцию RADIUS.
2. Выключите опцию Конвертировать запросы от Ideco NGFW из PAP в MS-CHAP v2 только если необходимо настроить двухфакторную аутентификацию для пользователей RADIUS-сервера.
В остальных случаях оставьте опцию включенной для повышения безопасности и защиты от перехвата паролей между NGFW и RADIUS-сервером, или когда RADIUS-сервер поддерживает только MS-CHAP v2.
3. Заполните поля:
Домен или IP-адрес - домен или адрес внутреннего RADIUS-сервера;
Секрет - ключ-пароль, который устанавливается на этапе конфигурации RADIUS-сервера;
Порт - порт, по которому будет происходить подключение к серверу. Поменяйте при необходимости.
4. Нажмите Сохранить.
При отключенной интеграции с RADIUS-сервером пользователи RADIUS не смогут аутентифицироваться на NGFW.
Ideco NGFW также поддерживает интеграцию с RADIUS-администраторами. Подробные инструкции по настройке описаны в статье Администраторы.
Двухфакторная аутентификация для пользователей RADIUS-сервера доступна только при авторизации через Ideco Client.
По умолчанию Ideco Client использует для аутентификации на внешнем сервере протокол MS-CHAP v2. При отключении опции Конвертировать запросы от Ideco NGFW из PAP в MS-CHAP v2 запросы аутентификации от Ideco Client к внешнему серверу будут выполняться по протоколу PAP. Для всех прочих VPN-подключений продолжает работать только MS-CHAP v2 независимо от настройки.
Если необходимо обеспечить для пользователей RADIUS-сервера двухфакторную аутентификацию:
1. В веб-интерфейсе Ideco NGFW в разделе Пользователи -> RADIUS отключите опцию Конвертировать запросы от Ideco NGFW из PAP в MS-CHAP v2: с использованием MS-CHAP v2 проверку второго фактора обеспечить невозможно.
2. Настройте RADIUS-сервер на работу с протоколом PAP.
3. Настройте на RADIUS-сервере механизм двухфакторной аутентификации. Настраивать 2FA на Ideco NGFW не нужно.
1. При подключении пользователя к Ideco NGFW происходит поиск пользователя в дереве пользователей NGFW.
2. Если учетная запись не будет найдена в дереве пользователей, NGFW отправит запрос к RADIUS-серверу на аутентификацию пользователя.
3. При отсутствии группы RADIUS на Ideco NGFW группа будет пересоздаваться при аутентификации пользователей RADIUS-сервера.
4. После аутентификации пользователь будет добавлен в группу RADIUS на Ideco NGFW.
Если пользователь уже есть в группе RADIUS, то запрос на аутентификацию сразу будет отправлен на RADIUS-сервер.
