Avanpost FAM/MFA+ : 5.3.3. Управление RADIUS-приложениями

Avanpost FAM предоставляет функциональность RADIUS-сервера для приложений с поддержкой в NAS (Network Access Service - Сетевой сервер доступа) аутентификации через сторонний RADIUS Proxy. RADIUS  протокол безопасности, который предоставляет централизованный метод аутентификации пользователей путем обращения к внешнему серверу. RADIUS-сервер использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети.

В процессе интеграции Avanpost FAM с RADIUS-приложением NAS-сервер обращается к UDP RADIUS-интерфейсу компонента Avanpost FAM Server. После этого инициируется сеанс аутентификации пользователя, который должен завершиться либо отправкой в адрес NAS сообщения RADIUS Access-Accept, либо сообщения RADIUS Access-Reject. При этом Avanpost FAM гибко подстраивается под различные сценарии взаимодействия с интегрируемыми системами. 

Добавление RADIUS-приложения

Первичная настройка RADIUS-приложения осуществляется при добавлении нового приложения. Для этого требуется нажать кнопку "Добавить приложение" сервиса "Приложения" и перейти на вкладку добавления приложения.

Шаг 1. Основные настройки

На данном шаге продукт предлагает ввести следующие параметры.

Название параметра

Описание параметра

НаименованиеНазвание приложения
Тип

Типы механизма интеграции приложения:

  • OAuth/OpenID Connect;
  • SAML;
  • RADIUS;
  • Reverse Proxy;
  • Agent;
  • Windows Logon;
  • Linux Logon;
  • LDAP Proxy;
  • Exchange ActiveSync.

Для настройки RADIUS-приложения выбрать опцию "RADIUS".

Дополнительные опции

Чекбокс "Показывать приложение пользователям":

  • при установленном флажке приложение будет показываться пользователям в личном кабинете вне зависимости от наличия у них доступа к приложению;
  • при выключенном флажке приложение не будет показываться пользователям, не имеющим доступа к приложению.

Для перехода к следующему шагу требуется нажать "Далее" после установки параметров. Для отказа от создания приложения следует нажать "Отмена". 

Шаг 2. Настройки интеграции

На данном шаге продукт предлагает ввести следующие параметры.

Название параметра

Описание параметра

IP-адрес как идентификатор

Переключатель "IP-адрес как идентификатор":

  • при включенном переключателе в качестве идентификатора используется IP-адрес устройства;
  • при выключенном переключателе в качестве идентификатора используется NAS Identifier.

Рекомендуется использовать IP-адрес, чтобы идентифицировать конфигурацию единичных сетевых устройств. 

NAS Identifier

RADIUS-атрибут, используемый для идентификации клиента.

Текстовое поле доступно для ввода при выключенном переключателе "IP-адрес как идентификатор".

Рекомендуется использовать NAS Identifier, чтобы идентифицировать несколько однотипных сетевых устройств. 

NAS IP (Source IP)

IP-адрес, используемый в качестве идентификатора клиента.

Текстовое поле доступно для ввода при включенном переключателе "IP-адрес как идентификатор". При некорректном вводе выдается предупреждение. 

Протокол аутентификации

Поддерживаемые протоколы аутентификации:

  • PAPпро­токол для аутен­ти­фика­ции поль­зо­вате­ля в NAS посредством пе­реда­чи че­рез сеть не­зашиф­ро­ван­ного па­роля.
  • CHAP - протокол для аутен­ти­фика­ции поль­зо­вате­ля посредством передачи в NAS хеш-кода, вычисленного на основе пароля пользователя и стро­ки зап­ро­са клиенту от CHAP-сервера.
  • MS-CHAP v2протокол для аутен­ти­фика­ции поль­зо­вате­ля посредством передачи в NAS хеш-кода без необходимости хранения на MS-CHAP v2-сервере пароля пользователя.
  • PASSWORDLESS - беспарольный метод аутентификации.
Access-Challenge

Ответ Access-Challenge от сервера на запрос Access-Request от клиента. Access-Challenge происходит, когда серверу RADIUS требуется дополнительная информация в другом запросе Access-Request перед аутентификацией пользователя. Переключатель "Разрешить Access-Challenge" для разрешения ответа Access-Challenge от сервера:

  • при включенном переключателе ответ Access-Challenge от сервера разрешен;
  • при выключенном переключателе ответ Access-Challenge от сервера запрещен.
Default Domain

Значение параметра Домен, устанавливаемого для данного приложения (фиксированное логическое название приложения, подключаемого по RADIUS протоколу).

Если во входящем запросе от RADIUS-приложения на аутентификацию, содержится только логин пользователя, Avanpost FAM проверяет совпадение значения Домена пользователей со значением Домена, заданного в данном параметре. При совпадении значений и при условии успешного прохождения настроенных факторов, аутентификация считается успешной. 

При обработке API-запросов на интеграцию (включая проверку второго фактора аутентификации) и прочих операций посредством API, требующих идентификации пользователя, Avanpost FAM принимает исключительно комбинацию логина и Домена пользователя в формате «Домен\логин» (отправка значения Домена осуществляется интегрированной системой).

Для перехода к следующему шагу требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Шаг 3. Настройки аутентификации

На данном шаге требуется настроить сценарий аутентификации приложения.

Avanpost FAM предлагает следующие вариант:

  • создать новый сценарий аутентификации для данного приложения;
  • выбрать существующий сценарий аутентификации.

Для установки существующего сценария аутентификации необходимо выбрать один из сценариев в выпадающем списке поля "Выберите процесс аутентификации или создайте новый". Шаги аутентификации, настроенные для выбранного сценария, отобразятся в поле "Шаги" без возможности редактирования.

Для установки нового сценария аутентификации следует выбрать "Новый процесс аутентификации" в выпадающем списке поля "Выберите процесс аутентификации или создайте новый" и настроить количество шагов аутентификации и использующиеся на них факторы.

Путем включения/выключения переключателей есть возможность подключить/отключить для RADIUS-приложения следующие факторы:

  • Идентификация пользователя;
  • Внешний провайдер (доступно при установке переключателя "Идентификация пользователя");
  • Script;
  • Вход по QR-коду;
  • Внешний провайдер;
  • Password;
  • TOTP;
  • Avanpost Authenticator;
  • OTP via Email;
  • SMS;
  • Telegram.

Для добавления второго и последующего шагов требуется нажать "Добавить шаг".

В каждом шаге должен быть хотя бы один фактор аутентификации. Для продолжения настройки приложения с новым сценарием аутентификации должен быть выбран хотя бы один фактор хотя бы на одном шаге в настраиваемом сценарии.

После создания приложения новому сценарию аутентификации присваивается наименование созданного приложения. Изменение сценария можно осуществить на вкладке "Настройка процессов аутентификации" режима "Сервис"

Для перехода к следующему шагу после настройки сценария требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Шаг 4. Завершение

На данном шаге доступен чекбокс "Сделать приложение активным":

  • при установленном флажке приложение включается сразу после создания;
  • при выключенном флажке приложение выключено после создания: для включения потребуется нажать в профиле приложения.

Для сохранения приложения требуется нажать "Сохранить", для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Настройка RADIUS-приложения

Настройка созданного RADIUS-приложения доступна в его профиле (графическое обозначение  в реестре приложений). В профиле осуществляется управление параметрами, общими для всех приложений (описаны в разделе Управление приложениями). Также в профиле осуществляется управление специфическими параметрами RADIUS-приложений во вкладках "Настройки" и "VSA".

Вкладка "Настройки"

Вкладка позволяет осуществлять редактировать настраиваемые атрибуты SAML-приложений и содержит следующие разделы:

  • Настройки интеграции;
  • Настройки безопасности.

Для внесения изменений в параметры того или иного раздела необходимо нажать  в соответствующем разделе. Для сохранения изменений следует нажать "Сохранить" в соответствующем разделе, для отмены изменений - "Отмена".

Вкладка "Настройки" позволяет просматривать и управлять следующими настраиваемыми атрибутами.

Название параметраОписание параметра
Настройки интеграции
IP-адрес как идентификатор

Переключатель "IP-адрес как идентификатор":

  • при включенном переключателе в качестве идентификатора используется IP-адрес устройства;
  • при выключенном переключателе в качестве идентификатора используется NAS Identifier.

Рекомендуется использовать IP-адрес, чтобы идентифицировать конфигурацию единичных сетевых устройств. 

NAS Identifier

RADIUS-атрибут, используемый для идентификации клиента.

Текстовое поле доступно для ввода при выключенном переключателе "IP-адрес как идентификатор".

Рекомендуется использовать NAS Identifier, чтобы идентифицировать несколько однотипных сетевых устройств. 

NAS IP (Source IP)

IP-адрес, используемый в качестве идентификатора клиента.

Текстовое поле доступно для ввода при включенном переключателе "IP-адрес как идентификатор". При некорректном вводе выдается предупреждение. 

Протокол аутентификации

Поддерживаемые протоколы аутентификации:

  • PAPпро­токол для аутен­ти­фика­ции поль­зо­вате­ля в NAS посредством пе­реда­чи че­рез сеть не­зашиф­ро­ван­ного па­роля.
  • CHAP - протокол для аутен­ти­фика­ции поль­зо­вате­ля посредством передачи в NAS хеш-кода, вычисленного на основе пароля пользователя и стро­ки зап­ро­са клиенту от CHAP-сервера.
  • MS-CHAP v2протокол для аутен­ти­фика­ции поль­зо­вате­ля посредством передачи в NAS хеш-кода без необходимости хранения на MS-CHAP v2-сервере пароля пользователя.
  • PASSWORDLESS - беспарольный метод аутентификации.
Access-Challenge

Ответ Access-Challenge от сервера на запрос Access-Request от клиента. Access-Challenge происходит, когда серверу RADIUS требуется дополнительная информация в другом запросе Access-Request перед аутентификацией пользователя. Переключатель "Разрешить Access-Challenge" для разрешения ответа Access-Challenge от сервера:

  • при включенном переключателе ответ Access-Challenge от сервера разрешен;
  • при выключенном переключателе ответ Access-Challenge от сервера запрещен.
Второй фактор

Переключатель "Проверять два фактора за один запрос" для RADIUS-приложений, не поддерживающих сообщения типа Access-Challenge:

  • при включенном переключателе  при запросе к RADIUS-серверу проверяются два фактора аутентификации;
  • при выключенном переключателе при запросе к RADIUS-серверу проверяется один фактор аутентификации.
Символ разделитель факторовСимвол-разделитель факторов, использующийся при проверке двух факторов в одном запросе Access-Request. Текстовая строка доступна при включенном переключателе "Второй фактор".
Настройки секрета

При нажатии на "Разделяемые секреты RADIUS" открывается вкладка управления секретами RADIUS, т.е. ключами, используемый для аутентификации и шифрования между RADIUS-сервером и RADIUS-клиентом. Более подробная информация о параметре дана в разделе Настройка разделяемых секретов RADIUS.

Настройки безопасности
Настройка сессии

Чекбокс "Ограничивать количество активных сессий":

  • при выключенном флажке количество сессий не ограничивается;
  • при включенном флажке открываются дополнительные настройки:
    • Максимальное количество сессий для пользователя - Строка ввода максимального количества сессий, доступных одному пользователю.

Вкладка "VSA"

Вкладка позволяет управлять специфическими Vendor Specific-атрибутами (VSA) RADIUS-приложения. Атрибуты вендоров определяются вендорами серверов удаленного доступа с целью дополнительной настройки RADIUS-приложений. Использование Vendor Specific-атрибутов позволяет предоставлять пользователям несколько типов прав доступа. VSA можно применять совместно со стандартными атрибутами RADIUS. Атрибуты вендоров не являются обязательными. Однако VSA необходимо добавлять в файл словаря в тех случаях, когда это требуется для правильной работы аппаратного обеспечения NAS.

Более подробная информация о настройке словарей Vendor Specific-атрибутов для RADIUS-приложений в Avanpost FAM дана в разделе Настройка словарей RADIUS VSA (Vendor-Specific Attribute) для RADIUS-приложений.

Для управления VSA приложения требуется нажать в поле "Настройка вычисления VSA". Во вкладке доступна настройка следующих параметров:

  • Вендор - Выбрать вендор NAS, к которому обращается приложение (допускается выбрать один вендор);
  • Атрибуты - Настройка атрибутов для приложения;
  • Настройка словарей VSA - Нажать для перехода во вкладку управления словарями RADIUS VSA.

Выбор атрибутов VSA осуществляется из атрибутов, добавленных в словарь RADIUS VSA данного вендора. После выбора вендора администратор может добавить атрибут нажатием и удалить нажатием . Для каждого VSA осуществляется настройка следующих параметров:

Название атрибута Значение атрибута
ИмяИмя атрибута - Выбрать из названий атрибутов, настроенных в словаре RADIUS VSA данного вендора
Тип

Тип атрибута. Выбрать из выпадающего списка:

Значение
  • Для типа Группы пользователя - Не вводится;
  • Для типа Группы приложения - Не вводится;
  • Значение из атрибута - Выбрать из выпадающего списка основных и дополнительных атрибутов пользователя;
  • Постоянное значение - Ввести значение в поле.

После настройки VSA следует нажать "Сохранить" для сохранения изменений или "Отмена" для отказа от изменений.

Обсуждение