WNAM поддерживает несколько сценариев двухфакторной авторизации:

• VPN-подключение с запросом TOTP кода в клиенте
• 802.1X-подключение к ЛВС с веб-редиректом пользователя на страницу запроса TOTP кода
• 802.1X-подключение с фоновым запросом авторизации через приложение Multifactor (по RADIUS-коннектору)

Внимание! Поддерживается настройка "ЛВС-2FA" либо на оборудовании Cisco Catalyst, либо HPE/Aruba. Не для случая присутствия оборудования обоих типов в одной сети (если вам нужно соответствующее расширение, обращайтесь в техподдержку).

Ниже описан путь настройки системы WNAM для комбинации "802.1X + TOTP".

1. Производится интеграция WNAM с службой каталога. 
2. Производится настройка правила входа в административный веб-интерфейс WNAM, в портал самообслуживания, через учетную запись пользователя домена:
3.  
4. Пользователей инструктируют о необходимости пройти предварительную регистрацию в системе и получение ТОТР-токена. Для этого им необходимо зайти в интерфейс WNAM со своими доменными учетными данными, и активировать учётную запись "ТОТР" в любом ТОТР-приложении:
5.  
6. Пользователь должен активировать свой код, сфотографировав QR-код из приложения Google Authenticator, Яндекс.Ключ и т.п.
7.  
8. У пользователя в приложении добавится "система" WNAM2FA, с его логином. Он может закрыть портал самообслуживания.
9. В административном интерфейсе WNAM в разделе "Конфигурация - Приложения 2FA" появится запись об активации кода для каждого пользователя:
10. 
11. В разделе "Конфигурация - Гостевая авторизация - Конструктор страниц - Другое" выберите страницу шаблона типа secondfactor.html, нажмите на редактирование, при необходимости отредактируйте и сохраните.
12. 
13. В разделе "Конфигурация - Корпоративные настройки - Двухфакторная авторизация" необходимо включить следующие параметры:
14. 
15. Параметр кэширования успешности для тестов ставьте 1 минуту, для продуктивной эксплуатации 60 минут, или более.
16. Выберите страницу ввода второго фактора, ссылку перенаправления (указав верный адрес вашего сервера WNAM) с параметрами:

     16.1. Для коммутаторов Cisco, в формате:

http://адрес-вашего-wnam-сервера/cp/2fa?client_mac=$mac&switch_ip=$switch_ip&user_name=$user_name

    16.2. Для коммутаторов HPE/Aruba, в формате:

http://адрес-вашего-wnam-сервера/cp/2fa_hpearuba

    17. Укажите имя ACL, который применяется для перенаправления пользователей на портал

    17.1. Для коммутаторов Cisco укажите имя статического ACL, заранее настроенного на целевом коммутаторе. Загружаемые ACL (dACL) в настоящий момент не поддерживаются. Сам ACL имеет вид:

ip access-list extended aaa
 deny   ip any host 172.16.130.5
 deny   udp any eq bootpc any eq bootpc
 deny   udp any any eq domain
 permit tcp any any eq www

    17.2. Для коммутаторов HPE/Aruba укажите имя динамического ACL, заранее настроенного в разделе "Конфигурация - Загружаемые ACL" в WNAM. Сам список имеет вид:

permit in tcp from any to 172.16.130.5 8080
deny in tcp from any to any 80 cpy
permit in udp from any to any 53
permit in udp from any to any 67

    18. В настройке правила аутентификации укажите необходимость использования двухфакторной авторизации через TOTP-метод:

    19. Настройте ваш коммутатор по документации производителя. Например, HPE/Aruba.

Порядок работы системы

Пользователя необходимо проинструктировать о необходимости подключиться к серверу WNAM, зайдя на портал самообслуживания через доменную учетную запись. На портале пользователь должен инициализировать своё ТОТР-приложение, считав им QR-код.

При подключении пользователя к корпоративной сети сработает правило аутентификации по 802.1Х методу, например доменной учетной записи или сертификату, которое проверит наличие URL и ACL-параметров в "Корпоративных настройках", и передаст оборудованию (коммутатору) атрибуты для выполнения редиректа сессии пользователя.

Пользователь должен будет открыть браузер с переходом по любой http (не https) ссылке, и его перенаправит на портал ввода ТОТР-кода. Пользователь вводит код, полученный из приложения. Матчинг пользователя ведется по его логину (без доменной части).

WNAM сравнивает код, проведя все необходимые проверки. Если код подходит, выполняется динамическая переавторизация порта (отправка RADIUS CoA) на коммутатор.

Устройство пользователя снова пробует пройти 802.1Х авторизацию. При этом WNAM уже фиксировал, что двухфакторная авторизация только что завершилась успехом, что видно в записи о Пользователе:

Таким образом, повторного назначения атрибутов URL и ACL не происходит, и устройство пользователя оказывается в целевой сети.

В планах:

• Возможность указания специального номера VLAN, откуда будет доступен 2FA-портал, который отличается от целевого номера VLAN пользователя 
• Поддержка URL/ACL атрибутов для коммутаторов Huawei