Перейти к основному содержимому

Настройка двухфакторной аутентификации точки доступа Wi-Fi

Общая информация

В статье описывается настройка двухфакторной аутентификации для подключения к беспроводной сети WiFi с технологией защиты WPA2 Enterprise и проверкой логина/пароля пользователя в домене Active Directory.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Telegram
  • Звонок (нужно принять вызов и нажать #)

Для настройки вам потребуется:

  • Точка доступа Wi-Fi
  • Microsoft Network Policy Server, подключенный к домену Active Directory
  • MultiFactor Radius Adapter, установленный в качестве RADIUS прокси между точкой доступа и NPS.

Видео-презентация

Схема работы

  1. Пользователь подключается к беспроводной сети, вводит логин и пароль;
  2. Точка доступа по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
  3. Компонент проксирует запрос в Network Policy Server;
  4. NPS проверяет первый фактор — логин и пароль пользователя в домене Active Directory и возвращает ответ компоненту;
  5. MultiFactor Radius Adapter запрашивает второй фактор на телефоне пользователя и, после подтверждения, разрешает доступ.

Схема сети

В примере показан адрес сервера NPS 192.168.0.1, который нужно поменять на актуальный для вашей конфигурации.

Компонент Radius Adapter может быть установлен как на сервере с NPS, так и на отдельном. В текущем примере показан вариант развертывания на одном сервере с использованием порта 1814 для компонента. Этот порт — 1814 UDP должен быть открыт на сервере для подключения точки доступа.

Настройка Radius Adapter

  1. Загрузите и установите MultiFactor Radius Adapter на сервер с NPS.
  2. Настройте конфигурацию следующим образом:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<appSettings>
<!-- Адрес и порт (UDP) по которому адаптер будет принимать запросы на аутентификацию от клиентов -->
<!-- Используется нестандартный порт 1814, чтоб не было конфликта с NPS -->
<add key="adapter-server-endpoint" value="192.168.0.1:1814"/>
<!-- shared secret общий для точки доступа, адаптера и NPS -->
<add key="radius-shared-secret" value="SHARED_SECRET"/>
<!-- Где поверять первый фактор: RADIUS -->
<add key="first-factor-authentication-source" value="Radius"/>
<!-- Адрес, с которого адаптер будет обращаться в NPS -->
<add key="adapter-client-endpoint" value="192.168.0.1"/>
<!-- Адрес и порт NPS -->
<add key="nps-server-endpoint" value="192.168.0.1:1812"/>
<!--Multifactor API -->
<add key="multifactor-api-url" value="https://api.multifactor.ru"/>
<add key="multifactor-nas-identifier" value="NAS Identifier из личного кабинета Мультифактора"/>
<add key="multifactor-shared-secret" value="Shared Secret из личного кабинета Мультифактора"/>
<!-- Уровень логирования: 'Debug', 'Info', 'Warn', 'Error' -->
<add key="logging-level" value="Debug"/>
</appSettings>
</configuration>

Настройка Network Policy Server

  1. В разделе Radius Clients создайте нового клиента:
    • Friendly Name: Wifi_MFA
    • Address: 192.168.0.1
    • Shared secret: из конфигурации адаптера
  2. Нажмите на NPS (Local), выберите конфигурацию Radius Server for 802.1X Wireless or Wired Connections и нажмите Configure 802.1X:
    • Выберите Secure Wireless Connection, Next
    • Next
    • Выберите Microsoft: Protected EAP (PEAP), Next
    • Добавьте группы, если необходимо, Next
    • Next
    • Finish

Настройка точки доступа

Укажите в настройках Wi-Fi сети:

  • Защита: WPA2 Enterprise
  • RADIUS-сервер: 192.168.0.1:1814
  • Секретный ключ: shared secret из конфигурации адаптера