Двухфакторная аутентификация для систем без поддержки двухфакторной аутентификации


Продолжаем рассказывать про наш продукт – TOTPRadius, на этот раз акцентируя внимание на относительно новую возможность, а именно — LDAP интеграцию.

Есть немало систем, поддерживающих двухфакторную аутентификацию «из коробки». В большинстве случаев это достигается возможностью подключения второго источника аутентификации по LDAP или Radius протоколам. Примером такой системы является Citrix Netscaler, где можно подключить первичный источник по LDAP и второй по Radius (а можно и оба по LDAP). С такими продуктами TOTPRadius интегрируется очень даже хорошо, и даже предоставляет API для самостоятельной регистрации второго фактора.

Но есть, к сожалению, продукты, не поддерживающие более одного источника аутентификации. Приведем пример продукта, который используется одним из наших клиентов. Клиент прислал нам feature request, который мы успешно реализовали, так как поняли, что таких продуктов достаточно много и эта функция, по нашему мнению, может оказаться достаточно востребованной.

Речь идет о Client VPN файрволлов серии Cisco Meraki MX. Согласно документации, Meraki Client VPN поддерживает в качестве источников аутентификации и LDAP, и Radius, но не одновременно; можно настроить или одно или другое. Для двухфакторной же аутентификации, Cisco предлагает воспользоваться сторонними решениями, и одним из таких решений может вполне быть наш TOTPRadius версии 0.2.2.

Как это работает?


Идея довольно простая: в качестве протокола авторизации используется RADIUS и для входа пользователь вводит имя пользователя и пароль, состоящий из пароля Active Directory и шести цифр одноразового пароля (OTP). TOTPRadius разделяет пароль на две части, и проверяет сначала одноразовый пароль и если он верен, то пытается подключиться в серверу AD с помощью имени пользователя и пароля (без OTP); порядок именно такой- это сделано с целью минимизировать риск блокирования акаунта в Active Directory (lockout).

Самостоятельная регистрация


TOTPRadius можно использовать везде, где поддерживается RADIUS протокол. Однако, к сожалению, самостоятельная регистрация возможна не везде; но на данный момент есть пакет интеграции с Citrix Netscaler, где этот процесс максимально дружелюбен с точки зрения обычного пользователя. Для Meraki Client VPN мы предлагаем менее элегантный, но тем не менее, вполне работоспособный метод с использованием CMAK. Принцип такой, при первом подключении к VPN запускается веб страница, где пользователь может войти (с помощью пароля AD) и самостоятельно зарегистрировать свой второй фактор (например с помощью Google Authenticator, Token2 Mobile OTP или любого другого приложения с поддержкой TOTP). Для этого пользователям нужно разрешить подключаться первые n раз без второго фактора (это настраивается в разделе General settings).

Cisco Meraki CVPN не единственный продукт где TOTPRadius может помочь с реализацией двухфакторной аутентификации, мы его привели только как пример.

Комментарии (0)