Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Производится интеграция WNAM с службой каталога. 
  2. Производится настройка правила входа в административный веб-интерфейс WNAM, в портал самообслуживания, через учетную запись пользователя домена:
  3.  
  4. Пользователей инструктируют о необходимости пройти предварительную регистрацию в системе и получение ТОТР-токена. Для этого им необходимо зайти в интерфейс WNAM со своими доменными учетными данными, и подключить ТОТ-приложение:
  5. Пользователь должен активировать код, сфотографировав QR-код из приложения Google Authenticator, Яндекс.Ключ и т.п.
  6.  
  7. У пользователя добавится "приложение" WNAM2FA с его логином. Он может закрыть портал самообслуживания.
  8. В административном интерфейсе WNAM в разделе "Конфигурация - Приложения 2FA" появится запись о коде каждого пользователя:
  9. В разделе "Конфигурация - Корпоративные настройки - Двухфакторная авторизация" необходимо включить следующие параметры:
  10. В разделе "Конфигурация - Гостевая авторизация - Конструктор страниц - Другое" выберите страницу шаблона secondfactor.html, нажмите на редактирование, посмотрите и скопируйте ID страницы в адресной строке:
  11. Вы также можете отредактировать дизайн страницы.
  12. Укажите имя (ID) страницы ввода второго фактора, ссылку перенаправления (указав верный адрес вашего сервера WNAM, с параметрами):
  13. http://172.16.130.5:8080/cp/2fa?client_mac=$mac&switch_ip=$switch_ip&user_name=$user_name
  14. Укажите имя статического ACL на коммутаторе. Сам список имеет вид:
ip access-list extended aaa
 deny   ip any host 172.16.130.5
 deny   udp any eq bootpc any eq bootpc
 deny   udp any any eq domain
 permit tcp any any eq www

16. В настройке правила аутентификации укажите использование двухфакторной авторизации через TOTP метод:


Порядок работы системы будет следующим.

При подключении пользователя к сети сработает правило аутентификации по 802.1Х методу, например доменной учетной записи, которое проверит наличие URL и ACL-параметров, и передаст оборудованию (коммутатор) команды выполнения редиректа сессии пользователя.

Пользователь должен будет открыть браузер, и его перенаправит на портал ввода ТОТР-кода. Пользователь вводит код, полученный из приложения.

WNAM сравнивает код, проведя все необходимые проверки. Если код подходит, выполняется динамическая переавторизация порта (отправка RADIUS CoA) на коммутатор.

Устройство пользователя снова пробует пройти 802.1Х авторизацию. При этом WNAM зафиксировал, что двухфакторная авторизация только что завершилась успехом, что видно в записи о Пользователе:

Image Added

Таким образом, повторного назначения атрибутов URL и ACL не происходит, и устройство пользователя оказывается в целевой сети.