You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Current »

WNAM поддерживает несколько сценариев двухфакторной авторизации:

  • VPN-подключение с запросом TOTP кода в клиенте
  • 802.1X-подключение к ЛВС с веб-редиректом пользователя на страницу запроса TOTP кода
  • 802.1X-подключение с фоновым запросом авторизации через приложение Multifactor (по RADIUS-коннектору)


Ниже описан путь настройки системы WNAM для 802.1X + TOTP.

  1. Производится интеграция WNAM с службой каталога. 
  2. Производится настройка правила входа в административный веб-интерфейс WNAM, в портал самообслуживания, через учетную запись пользователя домена:
  3.  
  4. Пользователей инструктируют о необходимости пройти предварительную регистрацию в системе и получение ТОТР-токена. Для этого им необходимо зайти в интерфейс WNAM со своими доменными учетными данными, и подключить ТОТ-приложение:
  5. Пользователь должен активировать код, сфотографировав QR-код из приложения Google Authenticator, Яндекс.Ключ и т.п.
  6.  
  7. У пользователя добавится "приложение" WNAM2FA с его логином. Он может закрыть портал самообслуживания.
  8. В административном интерфейсе WNAM в разделе "Конфигурация - Приложения 2FA" появится запись о коде каждого пользователя:
  9. В разделе "Конфигурация - Корпоративные настройки - Двухфакторная авторизация" необходимо включить следующие параметры:
  10. В разделе "Конфигурация - Гостевая авторизация - Конструктор страниц - Другое" выберите страницу шаблона secondfactor.html, нажмите на редактирование, посмотрите и скопируйте ID страницы в адресной строке:
  11. Вы также можете отредактировать дизайн страницы.
  12. Укажите имя (ID) страницы ввода второго фактора, ссылку перенаправления (указав верный адрес вашего сервера WNAM, с параметрами):
  13. http://172.16.130.5:8080/cp/2fa?client_mac=$mac&switch_ip=$switch_ip&user_name=$user_name
  14. Укажите имя статического ACL на коммутаторе. Сам список имеет вид:
ip access-list extended aaa
 deny   ip any host 172.16.130.5
 deny   udp any eq bootpc any eq bootpc
 deny   udp any any eq domain
 permit tcp any any eq www

16. В настройке правила аутентификации укажите использование двухфакторной авторизации через TOTP метод:


Порядок работы системы будет следующим.

При подключении пользователя к сети сработает правило аутентификации по 802.1Х методу, например доменной учетной записи, которое проверит наличие URL и ACL-параметров, и передаст оборудованию (коммутатор) команды выполнения редиректа сессии пользователя.

Пользователь должен будет открыть браузер, и его перенаправит на портал ввода ТОТР-кода. Пользователь вводит код, полученный из приложения.

WNAM сравнивает код, проведя все необходимые проверки. Если код подходит, выполняется динамическая переавторизация порта (отправка RADIUS CoA) на коммутатор.

Устройство пользователя снова пробует пройти 802.1Х авторизацию. При этом WNAM зафиксировал, что двухфакторная авторизация только что завершилась успехом, что видно в записи о Пользователе:

Таким образом, повторного назначения атрибутов URL и ACL не происходит, и устройство пользователя оказывается в целевой сети.




  • No labels