You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

WNAM поддерживает несколько сценариев двухфакторной авторизации:

  • VPN-подключение с запросом TOTP кода в клиенте
  • 802.1X-подключение к ЛВС с веб-редиректом пользователя на страницу запроса TOTP кода
  • 802.1X-подключение с фоновым запросом авторизации через приложение Multifactor (по RADIUS-коннектору)


Ниже описан путь настройки системы WNAM для 802.1X + TOTP.

  1. Производится интеграция WNAM с службой каталога. 
  2. Производится настройка правила входа в административный веб-интерфейс WNAM, в портал самообслуживания, через учетную запись пользователя домена:
  3.  
  4. Пользователей инструктируют о необходимости пройти предварительную регистрацию в системе и получение ТОТР-токена. Для этого им необходимо зайти в интерфейс WNAM со своими доменными учетными данными, и подключить ТОТ-приложение:
  6. Пользователь должен активировать код, сфотографировав QR-код из приложения Google Authenticator, Яндекс.Ключ и т.п.
  7.  
  8. У пользователя добавится "приложение" WNAM2FA с его логином. Он может закрыть портал самообслуживания.
  9. В административном интерфейсе WNAM в разделе "Конфигурация - Приложения 2FA" появится запись о коде каждого пользователя:
  11. В разделе "Конфигурация - Корпоративные настройки - Двухфакторная авторизация" необходимо включить следующие параметры:
  13. В разделе "Конфигурация - Гостевая авторизация - Конструктор страниц - Другое" выберите страницу шаблона secondfactor.html, нажмите на редактирование, посмотрите и скопируйте ID страницы в адресной строке:
  15. Вы также можете отредактировать дизайн страницы.
  16. Укажите имя (ID) страницы ввода второго фактора, ссылку перенаправления (указав верный адрес вашего сервера WNAM, с параметрами):
  17. http://172.16.130.5:8080/cp/2fa?client_mac=$mac&switch_ip=$switch_ip&user_name=$user_name
  18. Укажите имя статического ACL на коммутаторе. Сам список имеет вид:

ip access-list extended aaa
 deny   ip any host 172.16.130.5
 deny   udp any eq bootpc any eq bootpc
 deny   udp any any eq domain
 permit tcp any any eq www

16. В настройке правила аутентификации укажите использование двухфакторной авторизации через TOTP метод:





  • No labels