Доброго времени коллеги!
Возник вопрос организации VPN с двухфакторной аутентификацией.
Поделитесь опытом - как и чем решали данный вопрос, какие связки оборудования и софта использовали и какие всплыли нюансы в процессе использования?
Вы решили задачу с 2FA? Можете подсказать, сейчас как работает? На чем решили? Надеюсь бесплатное решение?
:) ТЗ звучит примерно так: необходима двухфакторная аутентификация. При этом денег не дадим. Облачные решения несекурно и ненадежно. В общем сделай заебись.
А если серьезно, то под разные проекты\стыковки создавались отдельные DMZ и туда либо просто пробрасывались к определенным сервисам порты, либо впн (как правило L2TP\ipsec) и не парились. Теперь их стало много и в перспективе будет увеличено лавинообразно. Посему необходима одна зона куда будут подключаться все (включая сторонние организации ака подрядчики) и дальше уже рулить их доступы через AD.
Имеется железяка, Fortigate 1500D, которая выполняет функцию впн концентратора. И вот кней необходимо привязать 2FA. При этом на клиентских машинах необходимо обойтись стандартными средствами - встроенными клиентами впн.
Т.к. раньше таких проектов не было, а времени (да и людских ресурсов тоже) перебирать все возможные варианты нет, вот и интересуюсь кто что делал и почему так, а не иначе.
Можно использовать OpenVPN сервер. в конфиг файле сервера через команду plugin подтянуть radiusplugin.so, а сам RADIUS-сервер настроить на работу например, с LinOTP. я когда-то делал, работало. Также, можно обойтись и без RADIUS, напрямую обращаясь к LinOTP через openvpn-plugin-auth-pam.so. C Google Authenticator тоже можно настроить, повозиться, конечно, придется.
с forticlient-ом можно использовать (и это более логично) fortitoken. Но санкции..
Да и хотелось бы пользоваться штатными средствами клиентской оси - без установки доп.софта (forticlient).
А какие факторы вас интересуют? У меня например используется openvpn сопряженный с ADDS и ADCS. ADCS выдает пользователям сертификаты, которые используются как первый фактор, второй фактор - логин\пароль из AD. Но это будет работать только для доменных рабочих станций.
В большей степени интересует внешний фактор: смс, телеграмм, почта и т.д. Для подключения "из вне", поэтому доменные тачки не подходят.
Лига Сисадминов
2.3K постов18.8K подписчиков
Правила сообщества
Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.