Настройка Huawei SSL VPN
Шаги, необходимые для настройки двухфакторной аутентификации в Huawei SSL VPN:
Двухфакторная аутентификация для бизнеса Контур.ID
Создание конфигурации ресурса
- Зайдите в кабинет администратора.
- Перейдите в «Ресурсы» и выберите RADIUS-адаптер.
- Добавьте новую конфигурацию.
-
Заполните настройки:
- Название конфигурации: укажите любое имя, например, Kontur.ID.
-
: укажите операционную систему, на которой будет развернут серверный компонент RADIUS.
- Порт Radius Adapter: укажите порт адреса машины, на которой будет развернут серверный компонент RADIUS.
- Shared Secret: скопируйте и сохраните секрет — он понадобится для настройки RADIUS-адаптера.
- Основной фактор: укажите Active Directory, OTP-код или Radius.
- Второй фактор: выберите второй фактор — OTP-код или Push/звонок.
- Запрос второго фактора: укажите «У всех» или настройте ограничения по группам пользователей.
- Саморегистрация пользователей: включите или отключите саморегистрацию.
-
Домен: укажите домен, в котором серверный компонент RADIUS будет проверять логин и пароль.
- Нажмите на кнопку «Сохранить и скачать».
В результате вы получите zip-архив, в котором содержится папка с настройками двухфакторной аутентификации.
Файлы конфигурации уже настроены и готовы к использованию для защиты на второй фактор.
Настройка Huawei
Откройте панель управления Web UI под учётной записью администратора.
Настройка политики безопасности
- В разделе Policy → Security Policy нажмите Add Security Policy.
- Заполните настройки:
- Name: policy_1
- Source Zone: local
- Destination Zone: dmz
- Source Address/Region: укажите IP-адрес для RADIUS-адаптера.
- Destination Address/Region: any
- Action: Permit.
- Нажмите ОК.
Настройка сервера аутентификации RADIUS
- В разделе Object → Authentication Server → RADIUS нажмите Add.
- Заполните настройки:
- Name: Kontur.ID.
- Primary Authentication Server IP Address: укажите адрес, на котором работает RADIUS-адаптер.
- Authentication port: укажите порт, на котором работает RADIUS-адаптер или оставьте настройки порта по умолчанию: 1812.
- Retransmission Attempts: 5.
- Reply Timeout: 10 seconds.
- User Name Format: Without Authentication Domain.
Чтобы проверить настройку аутентификации:
- Нажмите Test.
- Заполните настройки:
- Test Account: имя пользователя.
- Password: пароль пользователя.
- Authentication Type: PAP.
В случае успешной настройки аутентификации в RADIUS-адаптер поступит запрос доступа для пользователя. После нажмите OK.
Настройка состояния сервера RADIUS
Для корректировки периода необходимо настроить параметр max-unresponsive-interval. Настройка доступна с помощью cli.
-
Войдите в системный режим:
system-view -
Установите период в 60 секунд:
radius-server max-unresponsive-interval 60 -
Вернитесь к пользовательскому представлению:
return
Настройка домена аутентификации
- В разделе User → Authentication Domain нажмите Add и добавьте новый домен аутентификации.
- Заполните настройки:
- Name: укажите ваш домен Active Directory. Например, test.ru.
- Associated Group: Domain Name.
- Нажмите OK.
- В разделе User появится созданный домен. Нажмите на домен и заполните настройки:
- Scenario: включите флажок для SSL VPN access.
- User Location: Authentication Server.
- Authentication Server: RADIUS/KID.
- Reporting Traffic to the Authentication Server: отключите.
- Radius Accounting: отключите.
- Radius Authorization: включите.
- Нажмите Apply.
Настройка SSL VPN
- В разделе Network → SSL VPN выберите ваш шлюз.
- На вкладке Gateway Configuration заполните настройки:
- Authentication Domain: укажите ваш домен Active Directory. Например, test.ru.
- На вкладке Role Authorization/User:
- В List of Authorized Roles: укажите ваш домен Active Directory. Например, test.ru.
- В User/User Group List: укажите ваш домен Active Directory. Например, test.ru.
- Нажмите OK.
Настройка двухфакторной аутентификации в Huawei SSL VPN завершена.
