Коммутаторы Aruba

19.04.2021

Выше описано, как настроить cisco asa anyconnect для подключения к vpn с помощью двухфакторной аутентификации Коммутаторы Aruba.

Возможные методы аутентификации:

Многофакторный смарт
sms
аппаратные токены otp
приложение otp google authenticator или яндекс.Ключ телеграммы

После настройки второго фактора аутентификации вам будет полезно рассчитать и настроить многофакторный radius-адаптер.

Второй фактор можно настроить в порядке диалога с клиентом.

Видеопрезентация

Схема сотрудничества

1. Пользователь подключается к vpn, вводит логин и pin-код в anyconnect;
2. Cisco asa использует протокол radius для подключения к компоненту многофакторного адаптера radius;
3. Компонент проверяет имя пользователя для более низкого пользователя в active directory или сервере сетевой политики и запрашивает последний момент аутентификации;
4. Пользователь подтверждает запрос доступа в устройстве или вводит одноразовый код в anyconnect.

Настройка cisco asa

Конфигурация adsm

1. Выберите соединение, и здесь потребуется двухфакторная аутентификация;
2. Нажмите кнопку edit — > basic;
3. В категории проверка подлинности нажмите кнопку управление;
4. В категории «группы серверов aaa» нажмите кнопку добавить;
5. Создайте новую группу серверов: — имя: mfa radius servers
— протокол: radius
— сохранить и закрыть

6. Далее создаем обновленный сервер группы: — ip: адрес компонента multifactor radius adapter
— секретный ключ сервера: общий ключ из настроек компонента
— тайм — аут: 40 секунд
— снимаем галочку «microsoft chapv2 capable» — сохраняем и закрываем.

7. В категории аутентификация укажите группу «серверы radius mfa» для группы серверов aaa».

Конфигурация cli

См. Также:

Настройка двухфакторной аутентификации удаленного рабочего стола.
Ресурс для самостоятельной регистрации 2fa.