4.9. Мультифакторная аутентификация с подтверждением через одноразовые временные пароли (TOTP)

В данном пункте рассмотрена настройка двухфакторной аутентификации с подтверждением (второй фактор аутентификации) кодом TOTP. В качестве примера будет произведена настройка авторизации пользователей домена Active Directory.

  1. Добавить сервер авторизации.

Перейдите в раздел Пользователи и устройства --> Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить --> Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

  • Название сервера авторизации.

  • Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

  • Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image75

Во вкладке Домены LDAP укажите доменное имя LDAP.

image76

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

image77

Сохраните настройки LDAP коннектора.

  1. Создать профиль для мультифакторной аутентификации.

Для этого перейдите в раздел Пользователи и устройства --> Профили MFA и, нажав кнопку Добавить, выберете MFA через TOTP. Укажите необходимые данные и сохраните профиль.

  • Название профиля MFA.

  • Инициализация TOTP:выберите Показать ключ на странице captive-портала.

  • Показывать QR-код: отметьте чекбокс для возможности сканирования кода.

image78

  1. Создать профиль авторизации.

Для создания профиля авторизации перейдите в раздел Пользователи и устройства --> Профили авторизации. Во вкладке Общие необходимо указать:

  • Название профиля авторизации.

  • Созданный ранее Профиль MFA.

Добавьте ранее созданный LDAP коннектор во вкладке Методы аутентификации и сохраните настройки.

image79

  1. Создать профиль для Captive-портала.

Мультифакторная аутентификация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная аутентификация невозможна для методов аутентификации kerberos и NTLM.

Для создания captive-профиля перейдите в раздел Пользователи и устройства --> Captive-профили, нажмите на кнопку Добавить и в свойствах captive-профиля укажите следующие данные:

  • Название captive-профиля.

  • Шаблон страницы авторизации: выберите шаблон, например, «Captive portal user auth (RU)».

  • Метод идентификации: выберите Запоминать IP-адрес.

  • Созданный ранее Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, можно отметить чекбокс «Предлагать выбор домена AD/LDAP на странице авторизации». После внесения необходимых настроек сохраните captive-профиль нажатием на кнопку Сохранить.

image80

  1. Создать правило Captive-портала.

Перейдите в раздел Пользователи и устройства --> Captive-портал и создайте правило captive-портала, указав необходимую данные:

  • Название правила captive-портала.

  • Созданный ранее Captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Сохраните правило captive-портала.

image81

  1. Настроить DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

  1. Проверить работу мультифакторной аутентификации.

В браузере пользователя перейдем на сайт, например, ya.ru: откроется страница авторизации captive-портала:

image82

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации:

image83

Для получения кода необходимо установить специальное приложение или расширение в браузер, которое умеет генерировать код на основе алгоритма TOTP. Для примера было установлено расширение Аутентификатор в браузер Google Chrome:

image84

Добавьте в расширение ключ инициализации TOTP:

image85

Расширение браузера Chrome Аутентификатор выдаст временный код для авторизации на портале. Укажите его в поле One Time Password. После его ввода, откроется запрошенный сайт ya.ru

Для повторной авторизации на Captive-портале необходимо снова воспользоваться расширением Аутентификатор, которое сгенерирует новый код TOTP.