Настройка двухфакторной аутентификации Huawei SSL VPN
В статье описывается настройка Huawei Firewall для подключения к SSL VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
СМС
Аппаратные OTP токены
Приложения OTP: Google Authenticator или Яндекс.Ключ
Telegram
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Видео-презентация
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в SecoClient;
- Huawei Firewall по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory, AD LDS или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне.
Настройка Мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый ресурс Сетевой экран -> Другой:
- Название: Huawei SSL VPN
- При подключении без настроенного второго фактора: Запретить доступ
Нажмите Сохранить
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Загрузите и установите MultiFactor Radius Adapter.
Настройка Huawei (Web UI)
Зайдите в Web UI под аккаунтом администратора.
1. Настройка политики безопасности
В разделе Policy -> Security Policy -> Security Policy нажмите Add Security Policy и добавьте новую политику безопасности для трафика между FW и сервером аутентификации RADIUS:
- Name: fw to auth-server
- Source Zone: local
- Destination Zone: dmz (зона компонента MultiFactor Radius Adapter)
- Destination Address/Region: адрес компонента MultiFactor Radius Adapter
- Service: radius
- Action: Permit
Нажмите ОК
![](/img/vpn/huawei/fw_to_radius_server.png)
2. Настройка сервера аутентификации RADIUS
В разделе Object -> Authentication Server -> RADIUS нажмите Add и добавьте новый сервер аутентификации:
- Name: MF
- Primary Authentication Server IP Address: адрес компонента MultiFactor Radius Adapter
- Authentication port: 1812 (порт компонента MultiFactor Radius Adapter)
- Retransmission Attempts: 5
- Reply Timeout: 10 seconds
- User Name Format: Without Authentication Domain
Для проверки нажмите Test, введите
- Test Account: имя пользователя
- Password: пароль пользователя
- Authentication Type: PAP
В случае правильной настройки в адаптер поступит запрос доступа для пользователя, а в панели управления Мультифактор появится новый пользователь.
Нажмите OK.
Дополнительно необходимо настроить параметр max-unresponsive-interval
.
Настройка доступна через cli:
<USG6500E> system-view
[USG6500E] radius-server max-unresponsive-interval 60
![](/img/vpn/huawei/add_radius_server.png)