Avanpost FAM/MFA+ : Termit: настройка 2FA/MFA

[ Настройка на стороне Avanpost FAM ] [ Настройка на стороне Termit ] [ Проверка работы ]

В статье описывается настройка двухфакторной/многофакторной аутентификации (2FA/MFA) для системы удалённого доступа Termit с использованием встроенного RADIUS-сервера компонента Avanpost FAM. Интеграция позволяет применять второй фактор аутентификации (SMS, TOTP, Telegram, Avanpost Authenticator и др.) при подключении пользователей к Termit через десктоп-клиент или веб-портал администрирования. 

Настройка на стороне Avanpost FAM

Настройка приложения на стороне Avanpost FAM осуществляется следующим образом: 

  1. Открыть административную консоль Avanpost FAM Server и зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" режима "Приложения".
  2. На этапе "Основные настройки" требуется задать следующие параметры (параметры, доступные для настройки в RADIUS-приложениях, подробно описаны в разделе Управление приложениями и Управление RADIUS-приложениями):
    ПараметрЗначение
    НаименованиеВвести наименование (в данном примере TERMIT-RADIUS).
    ТипRADIUS
    Показывать приложение пользователямВыключить чекбокс (рекомендуется)
  3. На этапе "Настройки интеграции" заполнить указанные поля в соответствии с таблицей (более подробно описано в разделе Управление RADIUS-приложениями):
    ПараметрЗначение
    IP-адрес как идентификатор

    Рекомендуется перевести в положение , чтобы идентифицировать конфигурацию единичных сетевых устройств. 

    NAS Identifier

    RADIUS-атрибут, используемый для идентификации клиента (доступно при выключенном переключателе "IP-адрес как идентификатор").

    NAS IP (Source IP)IP-адрес, используемый в качестве идентификатора клиента (доступно при выключенном переключателе "IP-адрес как идентификатор").
    Протокол аутентификацииВыбрать используемый протокол аутентификации (например, PAP).
  4. На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (особенности настройки шага описаны в разделе Управление приложениями и Управление RADIUS-приложениями).
  5. На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания.
  6. Создать группу (если таковая группа не была настроена ранее), пользователи которой будут иметь доступ к Avanpost IDM. Для этого необходимо нажать кнопку "Добавить группу" в режиме "Группы" и в открывшейся вкладке ввести запрашиваемые параметры (более подробно в разделе Добавление новых групп).

  7. Добавить в группу пользователей, которые будут аутентифицироваться в настроенных приложениях. Ручное добавление пользователей администратором реализуется в профиле группы (более подробно о способах добавления пользователей описано в разделе Управление пользователями).

  8. Назначить ранее созданное RADIUS-приложение в данную группу. Для этого в профиле группы во вкладке "Приложения" созданной группы установить переключатель в положение "Активно" () напротив созданного приложения.

Настройка на стороне Termit

Настройка на стороне Termit выполняется следующим образом: 

  1. В пользовательском интерфейсе Termit перейти в раздел "Настройки", подраздел "Общие настройки".
  2. Навести курсор на "RADIUS" и нажать значок редактирования .
  3. Чтобы использовать RADIUS-сервер, активировать опцию "Использование".
  4. Задать параметры согласно таблице:
    ПараметрЗначение
    Адрес сервераIP-адрес RADIUS-сервера Avanpost FAM.
    ПортПорт RADIUS-сервера Avanpost FAM (по умолчанию используется порт 1812).
    Секрет для подключения к RADIUS-серверу 

    Ввести секрет (пароль) для взаимодействия между RADIUS-клиентом и RADIUS-сервером.

    Идентификатор NAS для внутренних пользователей

    Ввести NAS ID (Network Access Server Identifier) для внутренних пользователей.

    При подключении десктоп-клиента RADIUS-сервер использует NAS ID для:

    • классификации запросов, поступающих от RADIUS-клиентов; 
    • применения тех или иных настроек и политик для внутренних и внешних пользователей.
    Идентификатор NAS для внешних пользователейВвести NAS ID (Network Access Server Identifier) для внешних пользователей.
    Таймаут подключенияУказать время ожидания отклика (в секундах) от RADIUS-сервера при попытке установить с ним соединение (например, 10).
    Количество попыток подключенияУказать количество попыток подключения к RADIUS-серверу.
  5. Включить опцию "Использование RADIUS только для проверки второго фактора".
  6. В параметре "Протокол аутентификации RADIUS" задать значение "PAP".
  7. Сохранить настройки, нажав на кнопку "Сохранить".
  8. Настроить многофакторную аутентификацию (MFA):
    1. Перейти в раздел "Настройки", подраздел "Общие настройки".
    2. Навести курсор на "Многофакторная аутентификация" и нажать значок редактирования .
    3. В поле "Внутренние пользователи" включить опцию "Многофакторная аутентификация при использовании имени и пароля" для внутренних пользователей.

Проверка работы

Проверку работы выполнять следующим образом:

  1. Убедиться, что все брокеры добавлены в конфигурацию RADIUS-сервера в качестве RADIUS-клиентов.
  2. Добавить пользователя и в группу, которой предоставлен доступ к приложению Termit. Убедиться, что пользователю доступны факторы, использующиеся в сценарии аутентификации для данной группы и приложения.
  3. Аутентифицироваться в Termit при помощи десктоп-клиента Termit в соответствии со сценарием аутентификации, который был настроен на стороне Avanpost FAM.

Обсуждение