WNAM поддерживает несколько сценариев двухфакторной авторизации:
- VPN-подключение с запросом TOTP кода в клиенте
- 802.1X-подключение к ЛВС с веб-редиректом пользователя на страницу запроса TOTP кода
- 802.1X-подключение с фоновым запросом авторизации через приложение Multifactor (по RADIUS-коннектору)
Ниже описан путь настройки системы WNAM для 802.1X + TOTP.
- Производится интеграция WNAM с службой каталога.
- Производится настройка правила входа в административный веб-интерфейс WNAM, в портал самообслуживания, через учетную запись пользователя домена:
- Пользователей инструктируют о необходимости пройти предварительную регистрацию в системе и получение ТОТР-токена. Для этого им необходимо зайти в интерфейс WNAM со своими доменными учетными данными, и подключить ТОТ-приложение:
-
- Пользователь должен активировать код, сфотографировав QR-код из приложения Google Authenticator, Яндекс.Ключ и т.п.
-
- У пользователя добавится "приложение" WNAM2FA с его логином. Он может закрыть портал самообслуживания.
- В административном интерфейсе WNAM в разделе "Конфигурация - Приложения 2FA" появится запись о коде каждого пользователя:
- В разделе "Конфигурация - Корпоративные настройки - Двухфакторная авторизация" необходимо включить следующие параметры:
- В разделе "Конфигурация - Гостевая авторизация - Конструктор страниц - Другое" выберите страницу шаблона secondfactor.html, нажмите на редактирование, посмотрите и скопируйте ID страницы в адресной строке:
- Вы также можете отредактировать дизайн страницы.
- Укажите имя (ID) страницы ввода второго фактора, ссылку перенаправления (указав верный адрес вашего сервера WNAM, с параметрами):
- http://172.16.130.5:8080/cp/2fa?client_mac=$mac&switch_ip=$switch_ip&user_name=$user_name
- Укажите имя статического ACL на коммутаторе. Сам список имеет вид:
ip access-list extended aaa
deny ip any host 172.16.130.5
deny udp any eq bootpc any eq bootpc
deny udp any any eq domain
permit tcp any any eq www
16. В настройке правила аутентификации укажите использование двухфакторной авторизации через TOTP метод:
Порядок работы системы будет следующим.
Пользователя необходимо проинструктировать о необходимости подключиться к серверу WNAM, зайдя в портал самообслуживания через доменную учетную запись. На портале пользователь должен инициализировать своё ТОТР-приложение.
При подключении пользователя к корпоративной сети сработает правило аутентификации по 802.1Х методу, например доменной учетной записи или сертификату, которое проверит наличие URL и ACL-параметров, и передаст оборудованию (коммутатору) атрибуты для выполнения редиректа сессии пользователя.
Пользователь должен будет открыть браузер, и его перенаправит на портал ввода ТОТР-кода. Пользователь вводит код, полученный из приложения. Матчинг пользователя ведется по логину (без доменной части).
WNAM сравнивает код, проведя все необходимые проверки. Если код подходит, выполняется динамическая переавторизация порта (отправка RADIUS CoA) на коммутатор.
Устройство пользователя снова пробует пройти 802.1Х авторизацию. При этом WNAM зафиксировал, что двухфакторная авторизация только что завершилась успехом, что видно в записи о Пользователе:
Таким образом, повторного назначения атрибутов URL и ACL не происходит, и устройство пользователя оказывается в целевой сети.
В планах:
- Выбор страницы через кнопку с превью страниц конструктора, а не по ID
- Возможность указания специального номера VLAN, откуда будет доступен 2FA-портал
- Поддержка URL/ACL атрибутов для коммутаторов Huawei, HPE/Aruba
создание бота админом
ссылка на бота
пользователь привязывает учетку туда
внам хранит связь доменной учетки и айди клиента
у внама настройка использовать телеграм
при авторизации от этой учетки - правило аутентификации
включать троттлинг до 30 сек
отдача ответа по результатам
...