Vault
Общая информация
В статье описывается настройка для входа в хранилище vault с двухфаторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
Telegram
Звонок (нужно принять вызов и нажать #)
Для настройки второго фактора аутентификации вам потребуется установить и настроить один из компонентов на выбор: Radius Adapter или LDAP Adapter.
Radius Adapter
Схема работы
- Пользователь подключается к vault, вводит логин и пароль.
- Vault по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или другом каталоге учетных записей и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа выбранным способом аутентификации.
Настройка MULTIFACTOR
- Зайдите в систему управления Мультифактором, далее в раздел Ресурсы и создайте новый ресурс типа "Сетевой экран" -> "Другой";
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Установите и настройте Multifactor Radius Adapter.
Настройка Vault
- На вкладке Access – Authentication Methods выбрать Enable new method
![](/img/vault/r1.png)
Выбрать Radius - Next
![](/img/vault/r2.png)
Enable Method
![](/img/vault/r3.png)
- В конфигурации указать сервер, на котором установлен Radius и Secret, который был указан в файле конфигурации при настройке Radius адаптера
![](/img/vault/r4.png)
В RADIUS Options указать порт, на котором работает Radius адаптер и NAS Identifier из файла конфигурации
![](/img/vault/r5.png)
- При авторизации убедиться, что у пользователя выбран способ аутентификации в Личном кабинете Мультифактор
LDAP Adapter
Схема работы
- Пользователь подключается к vault, вводит логин и пароль.
- Vault по протоколу LDAP подключается к компоненту MultiFactor LDAP Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или другом LDAP-каталоге и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа выбранным способом аутентификации.
Настройка Мультифактора
- Зайдите всистему управления Мультифактором, далее в разделе "Ресурсы" создайте новое LDAP приложение.
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Загрузите и установите MultiFactor LDAP Adapter
Настройка Vault
- На вкладке Access – Authentication Methods выбрать Enable new method
![](/img/vault/l1.png)
Выбрать LDAP - Next
![](/img/vault/l2.png)
Enable Method
![](/img/vault/l3.png)
- В конфигурации указать сервер, на котором установлен LDAP каталог, Max page size поставить -1
![](/img/vault/l4.png)
В Customize User Search указать binddn сервисного пользователя из AD, через него будет осуществляться аутентификация.
![](/img/vault/l5.png)
В Customize Group Membership Search указать Group DN
![](/img/vault/l6.png)
- При авторизации убедиться, что у пользователя выбран способ аутентификации в Личном кабинете Мультифактор