...
- Производится интеграция WNAM с службой каталога.
- Производится настройка правила входа в административный веб-интерфейс WNAM, в портал самообслуживания, через учетную запись пользователя домена:
- Пользователей инструктируют о необходимости пройти предварительную регистрацию в системе и получение ТОТР-токена. Для этого им необходимо зайти в интерфейс WNAM со своими доменными учетными данными, и подключить ТОТ-приложение:
-
- Пользователь должен активировать код, сфотографировав QR-код из приложения Google Authenticator, Яндекс.Ключ и т.п.
-
- У пользователя добавится "приложение" WNAM2FA с его логином. Он может закрыть портал самообслуживания.
- В административном интерфейсе WNAM в разделе "Конфигурация - Приложения 2FA" появится запись о коде каждого пользователя:
- В разделе "Конфигурация - Корпоративные настройки - Двухфакторная авторизация" необходимо включить следующие параметры:
- В разделе "Конфигурация - Гостевая авторизация - Конструктор страниц - Другое" выберите страницу шаблона secondfactor.html, нажмите на редактирование, посмотрите и скопируйте ID страницы в адресной строке:
- Вы также можете отредактировать дизайн страницы.
- Укажите имя (ID) страницы ввода второго фактора, ссылку перенаправления (указав верный адрес вашего сервера WNAM, с параметрами):
- http://172.16.130.5:8080/cp/2fa?client_mac=$mac&switch_ip=$switch_ip&user_name=$user_name
- Укажите имя статического ACL на коммутаторе. Сам список имеет вид:
...
Порядок работы системы будет следующим.
Пользователя необходимо проинструктировать о необходимости подключиться к серверу WNAM, зайдя в портал самообслуживания через доменную учетную запись. На портале пользователь должен инициализировать своё ТОТР-приложение.
При подключении пользователя к корпоративной сети сработает правило аутентификации по 802.1Х методу, например доменной учетной записи или сертификату, которое проверит наличие URL и ACL-параметров, и передаст оборудованию (коммутаторкоммутатору) команды атрибуты для выполнения редиректа сессии пользователя.
Пользователь должен будет открыть браузер, и его перенаправит на портал ввода ТОТР-кода. Пользователь вводит код, полученный из приложения. Матчинг пользователя ведется по логину (без доменной части).
WNAM сравнивает код, проведя все необходимые проверки. Если код подходит, выполняется динамическая переавторизация порта (отправка RADIUS CoA) на коммутатор.
...
Таким образом, повторного назначения атрибутов URL и ACL не происходит, и устройство пользователя оказывается в целевой сети.
В планах:
- Выбор страницы через кнопку с превью страниц конструктора, а не по ID
- Возможность указания специального номера VLAN, откуда будет доступен 2FA-портал
- Поддержка URL/ACL атрибутов для коммутаторов Huawei, HPE/Aruba