4.8. Мультифакторная аутентификация с подтверждением через email

1. Для отправки почтового сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.

Для локального пользователя UserGate необходимо перейти в свойства пользователя в разделе Пользователи и устройства --> Пользователи и указать почтовые адреса в одноимённой вкладке.

Для доменной учетной записи добавить адрес электронной почты необходимо в свойствах пользователя во вкладке Общие.

2. Создать профиль оповещения по электронной почте.

Для создания профиля оповещения перейдите в раздел Библиотеки --> Профили оповещений и выберите Добавить --> Добавить профиль оповещения SMTP. Далее укажите необходимы данные.

Для проверки нажмите на кнопку Проверить профиль и отправьте проверочное письмо, предварительно заполнив поля Отправитель, Получатель, Тема и Тело письма. Сохраните настройки, если проверочное письмо было получено адресатом.

Использование мультифакторной аутентификации с подтверждением через email на примере авторизации пользователей домена AD.

1. Добавить сервер авторизации.

Перейдите в раздел Пользователи и устройства --> Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить --> Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

• Название сервера авторизации.

• Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

• Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

• Пароль пользователя для подключения к домену.

Во вкладке Домены LDAP укажите доменное имя LDAP.

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

Сохраните настройки LDAP коннектора.

2. Создать профиль для мультифакторной аутентификации.

Перейдите в раздел Пользователи и устройства --> Профили MFA, нажатием на кнопку Добавить --> MFA через email перейдите в свойства профиля MFA и укажите следующую информацию.

• Название профиля MFA.

• Профиль отправки MFA: ранее созданный профиль оповещения по электронной почте.

• От: адрес электронной почты пользователя, указанного в профиле оповещения MFA.

• Тема письма.

• Содержимое письма.

Сохраните настройки профиля MFA нажатием кнопки Сохранить.

3. Создать профиль авторизации.

Перейдите в раздел Пользователи и устройства --> Профили авторизации и добавьте профиль авторизации. В свойствах профиля укажите необходимую информацию.

• Название профиля авторизации.

• Созданный ранее Профиль MFA.

Во вкладке Методы аутентификации укажите ранее созданный LDAP коннектор: Добавить --> Сервер LDAP/Active Directory: AD Connector и сохраните настройки профиля авторизации.

Мультифакторная аутентификация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная аутентификация невозможна для методов аутентификации Kerberos и NTLM.

4. Создать Captive-профиль.

Для создания профиля перейдите в раздел Пользователи и устройства --> Captive-профили, нажмем на кнопку Добавить. Укажите необходимые данные:

• Название captive-профиля.

• Выберите Шаблон страницы авторизации.

• В поле Метод идентификации укажите Запоминать IP-адрес.

• Ранее созданный Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, то можно активировать функцию «Предлагать выбор домена AD/LDAP на странице авторизации».

Сохраните настройки captive-профиля.

5. Создать правило Captive-портала.

Для создания правила captive-портала перейдите в раздел Пользователи и устройства --> Captive-портал и нажмите кнопку Добавить. В свойствах правила captive-портала укажите следующую информацию:

• Название captive-портала.

• Ранее созданный captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время, можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

6. Настроить DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

7. Проверить работу мультифакторной аутентификации.

В браузере пользователя перейдите на сайт, например, ya.ru: отобразится страница авторизации captive-портала:

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации, который придет на электронную почту, указанную в свойстве профиля пользователя:

Введите полученный код.

После ввода кода, откроется запрошенный сайт - ya.ru