Перейти к основному содержимому

ViPNET

Общая информация

Системные требования:

  • Процессор (количество ядер) — не менее 2;
  • Объем оперативной памяти — не менее 8 Гбайт;
  • Свободное место на жестком диске — не менее 20 Гбайт;
  • Операционная система одного из дистрибутивов: 1 Astra Linux Special Edition («Смоленск») 1.7 2 Ubuntu 22.04 LTS
  • ПО ViPNet — ViPNet Client 4U for Linux 4.15 (далее — ViPNet Client 4U);
  • MultiFactor Radius Adapter, для которого открыты сетевые порты для подключения: 1 к службам Active Directory/AD LDS 2 к облачному сервису многофакторной аутентификации Multifactor. Если вы хотите установить сервер аутентификации на одно устройство с MultiFactor Radius Adapter, используйте MultiFactor Radius Adapter для Linux, потому что сервер аутентификации работает только на Linux. Примечание. LDAP адаптер не поддерживается. Совместимость с ПО ViPNet Вы можете использовать сервер аутентификации для многофакторной аутентификации пользователей:
  • Для Android ViPNet Client 4U for Android версии 4.3.0 и выше
  • Для Windows ViPNet Client 4U for Windows 4.14.2898 и выше
  • Для MacOS в разработке
  • Для Linux в разработке

Сервер аутентификации принимает запросы от ViPNet Client 4U, преобразует их и отправляет на MultiFactor Radius Adapter. Затем сервер аутентификации отправляет ответ от MultiFactor Radius Adapter обратно ViPNet Client 4U.

Все параметры двухфакторной аутентификации настраиваются в облачном сервисе Multifactor, сервер аутентификации только передает команды.

Защищённый контур корпоративной сети — зона с ограниченным списком доступа, которую контролирует системный администратор организации. В защищенном контуре разместите:

  • защищенный узел ViPNet Client с сервером аутентификации
  • MultiFactor Radius Adapter
  • службу каталогов На границах сети установите координатор или отдельный межсетевой экран. На узле с сервером аутентификации установите ViPNet Client.

Настройка Multifactor

примечание

Не изменяйте язык сервера аутентификации в облачном сервисе Multifactor. В параметрах ресурса должен быть английский язык

  1. Установить и настроить MultiFactor Radius Adapter;
  2. Для MultiFactor Radius Adapter настройте:
  • доступ к api.multifactor.ru по TCP-порту 443 (TLS) напрямую или через HTTP proxy
  • доступ к серверу домена по TCP-порту 389 (схема LDAP) или 636 (схема LDAPS) для взаимодействия с Active Directory

Настройка VipNET

  1. В управляющем ПО создайте Linux-клиент с именем Client Auth Server для узла с сервером аутентификации.

  2. Установите сервер аутентификации и watchdog

$ dpkg -i infotecs-vmfa-server-<ver>.deb 
$ dpkg -i infotecs-vmfa-watchdog-<ver>.deb

примечание

Разворачивайте сервер аутентификации в защищенном контуре корпоративной сети. На узле с сервером аутентификации должен быть установлен ViPNet Client 4U.

  1. На узле с сервером аутентификации установите ViPNet Client 4U.
примечание

На узле с сервером аутентификации должны быть: • ViPNet Client 4U, • имя Client Auth Server. Иначе сервер аутентификации не будет работать

  1. Отредактируйте файл настройки взаимодействия сервера аутентификации с MultiFactor Radius Adapter: /opt/vmfa-server/etc/user.properties:
    • SET_SERV_TIMEOUT — время ожидания ответа от сервера аутентификации в ViPNet Client 4U. По умолчанию — 45 секунд. Задайте такое же значение в настройке Время кэширования Radius запроса в облачном сервисе Multifactor. Если заданы разные значения, будет использоваться наименьшее.
    • ALLOW_RESTART_IN — время, через которое доступна повторная аутентификация в ViPNet Client 4U. По умолчанию — 15 секунд.
    • SERVER_PORT — порт сервера аутентификации. По умолчанию — 8070.
    • SERVER_HOST — адрес сервера аутентификации.
примечание

По умолчанию пустой параметр, сервер аутентификации использует сетевой интерфейс собственного узла защищенной сети (обычно tun0). Не изменяйте этот параметр.

  • RADIUS_HOST — адрес узла, на котором развернут MultiFactor Radius Adapter.
  • RADIUS_PORT — порт для подключения к MultiFactor Radius Adapter. Используется для приема запросов от пользователей ViPNet Client 4U, которым назначена многофакторная аутентификация. Рекомендуемое значение — 1812.
  • RADIUS_SECRET — секретная фраза для работы сервера аутентификации с MultiFactor Radius Adapter. Используйте сложную секретную фразу, чтобы исключить риск несанкционированного доступа к данным. Задайте такую же секретную фразу в настройках MultiFactor Radius Adapter.

Пример файла user.properties:

SET_SERV_TIMEOUT=45 
ALLOW_RESTART_IN=15
SERVER_PORT=8070
SERVER_HOST=
RADIUS_HOST=<адрес MultiFactor Radius Adapter>
RADIUS_PORT=1812
RADIUS_SECRET=<секретная фраза>

Запустите сервер аутентификации и watchdog:

$ service vmfa-server start 
$ service vmfa-watchdog start

Чтобы остановить работу сервера аутентификации:

$ service vmfa-server stop 

Просмотр состояния

Чтобы посмотреть состояние сервера аутентификации:

$ service vmfa-server status 

В строке Active отобразится статус:

  • active (running) — включен и работает.
  • inactive (dead) — остановлен.

Удаление

Чтобы удалить сервер аутентификации:

$ dpkg -r vmfa-server 

Файлы конфигурации удалите вручную из /opt/vmfa-server/

Логирование

logback.xml — настройки логирования. По умолчанию:

  • максимальный размер файла журнала — 500 Мбайт,
  • ротация файлов журнала выполняется автоматически после 10 файлов. Путь к файлам журнала: /opt/vmfa-server/logs/vmfa-server.log. Записываются:
  • время,
  • номер сессии,
  • основные параметры команд ViPNet Client 4U и ответов сервера Mulifactor. Пример файла logback:
<configuration>
<property name="LOGS_HOME" value="/opt/vmfa-server/logs" />
<appender name="STD" class="ch.qos.logback.core.ConsoleAppender">
<encoder>
<pattern>%d [%thread] %-5level %logger{36} - %msg%n</pattern>
</encoder>
</appender>
<appender name="STDOUT" class="ch.qos.logback.core.rolling.RollingFileAppender">
<file>${LOGS_HOME}/vmfa-server.log</file>
<rollingPolicy class="ch.qos.logback.core.rolling.FixedWindowRollingPolicy">
<fileNamePattern>${LOGS_HOME}/vmfa-server.log.%i.zip</fileNamePattern>
<minIndex>1</minIndex>
<maxIndex>10</maxIndex>
</rollingPolicy>
<triggeringPolicy class="ch.qos.logback.core.rolling.SizeBasedTriggeringPolicy">
<maxFileSize>500MB</maxFileSize>
</triggeringPolicy>
<encoder>
<pattern>%d [%thread] %-5level %logger{36} - %msg%n</pattern>
</encoder>
</appender>
<root level="info">
<appender-ref ref="STDOUT"/>
</root>
</configuration>