Ukraine flag

We stand with our friends and colleagues in Ukraine. To support Ukraine in their time of need visit this page

OpenVPN 2FA

Настройте двухфакторную аутентификацию в OpenVPN с помощью решения многофакторной аутентификации Protectimus OpenVPN 2FA.

Двухфакторная аутентификация защитит учетные записи OpenVPN от взлома с помощью таких типов кибератак как брутфорс, кейлоггеры, подмена данных, фишинг, человек-посередине, социальная инженерия и подобные. Поэтому MFA это обязательная мера защиты учетных записей, инфраструктуры и конфиденциальных данных пользователей от несанкционированного доступа.

1. Как работает двухфакторная аутентификация для OpenVPN

Когда учетная запись пользователя в OpenVPN защищена двухфакторной аутентификацией с использованием решения Protectimus OpenVPN 2FA, то для входа в свой аккаунт, пользователь будет использовать для разных типа паролей одновременно.

  1. Сначала пользователь вводит обычный пароль и логин (то, что он знает, хранит в памяти);
  2. После этого пользователь вводит одноразовый пароль, который генерируется с помощью 2FA токена или приложения на телефоне (устроства, которым владеет пользователь).

Таким образом, когда включена OpenVPN 2FA, злоумышленнику слишком сложно взломать оба пароля двухфакторной аутентификации одновременно, особенно если учесть, что одноразовый пароль действителен только в течение 30 секунд.

В этом руководстве показано, как настроить двухфакторную аутентификация для OpenVPN с помощью Облачного сервиса двухфакторной аутентификации Protectimus или локальной 2FA платформы Protectimus. Для этого необлдима интеграция OpenVPN с Protectimus по протоколу аутентификации RADIUS.

Схема работы решения двухфакторной аутентификации Protectimus OpenVPN 2FA

2. Как настроить двухфакторную аутентификацию (2FA) в OpenVPN

Интеграция двухфакторной аутентификации Protectimus с OpenVPN возможна по протоколу RADIUS:
  1. Установите и настройте компонент Protectimus RADIUS Server.
  2. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
  3. Настройте OpenVPN.

2.1. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2.2. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.3. Настройте политики аутентификации на OpenVPN Server

1. Перейдите в панель администратора OpenVPN Access Server, найдите секцию Authentication и виберите General.
Двухфакторная аутентификация OpenVPN - настройка OpenVPN Server - шаг 1

2. Чтобы позже подключить двухфакторную аутентификацию к OpenVPN, активируйте аутентификацию с помощью RADIUS и нажмите Save settings.
OpenVPN 2FA - настройка OpenVPN Server - шаг 2

3. Вы увидите вплывающее окно, нажмите Update Running Server, и продолжайте настройку.
2-факторная аутентификация OpenVPN - настройка OpenVPN Server - шаг 3

4. Вернитесь в секцию Authentication и выберите RADIUS.
Мультифакторная аутентификация OpenVPN - настройка OpenVPN Server - шаг 4

5. В разделе RADIUS Authentication Method выберите вариант PAP. После этого задайте следующие настройки RADIUS:
Hostname or IP AddressУкажите IP сервера, на котором установлен Protectimus RADIUS Server.
Shared SecretУкажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
Двухфакторная аутентификация OpenVPN - настройка OpenVPN Server - шаг 5

6. Вы завершили настройку политик аутентификации OpenVPN Server, нажмите Save Settings, после этого нажмите кнопку Update Running Server во всплывающем окне.

Интеграция двухфакторной аутентификации в OpenVPN завершена. Если у вас есть вопросы, свяжитесь со службой поддержки Protectimus.

Roundcube 2FA


Плагин Protectimus Roundcube 2FA позволяет настроить двухфакторную аутентификацию в веб-клиенте для работы с электронной почтой Roundcube всего за 15 минут.

После интеграции двухфакторной аутентификации в Roundcube, при входе в учетную запись пользователя в Roundcube будет запрашиваться сначала стандартный, а потом одноразовый пароль. Получить несанкционированный доступ к учетной записи Roundcube, защищенной двухфакторной аутентификации практически невозможно. Для этого необходимо узнать пароль пользователя и одновременно получить физический доступ к OTP токену или суметь перехватить одноразовый пароль, который действует только 30 секунд.

Подробнее о плагине двухфакторной аутентификации Protectimus Roundcube 2FA можно узнать здесь.

Ниже приведена подробная инструкция по настройке двухфакторной аутентификации в Roundcube с помощью Protectimus.

1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначьте токены пользователям.
  6. Назначьте токены с пользователями на ресурс.

2. Скачайте и установите плагин Protectimus Roundcube 2FA

  1. Скачайте плагин Protectimus Roundcube 2FA здесь.

  2. Поместите файл protectimus_otp_authentication в папку plugins/ folder вашей установки Roundcube.

  3. Активируйте плагин protectimus_otp_authentication в config/main.inc.php:
    $config['plugins'] = array('protectimus_otp_authentication');

  4. Откройте и настройте plugins/protectimus_otp_authentication/config.inc.php

    Вам необходимо заполнить следующие параметры:

    • Укажите ваш логин в сервисе или платформе Protectimus (email, который вы указывали при регистрации).
      This is your login name

    • Укажите Ключ API. Он находится в профиле пользователя в сервисе Protectimus. Войдите в свой аккаунт в облачном сервисе Protectimus (service.protectimus.com) нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка. Скопируйте Ключ API.
      $config['protectimus_api_key']

    • Ничего не меняйте здесь, если используете облачный сервис Protectimus
      $config['protectimus_api_url'] = 'https://api.protectimus.com/';

    • Укажите ID ресурса, который вы создали в облачном сервисе или платформе Protectimus. После создания ресурса вы попадете на страницу со списком доступных ресурсов, где увидите только что созданный ресурс. Кроме прочего, в таблице будет отображен ID ресурса.
      $config['protectimus_resource_id']


ВАЖНО:
Если вы используете скин, отличный от стандартного, вам необходимо скопировать папку skins в Protectimus.

Например:
cp -a skins/default skins/elastic

Protectimus DSPA

Компонент Protectimus DSPA (Dynamic Strong Password Authentication) позволяет интегрировать решение двухфакторной аутентификации Protectimus напрямую с Microsoft Active Directory или любым другим хранилищем пользователей (AD/LDAP, базы данных).

После интеграции, динамические 2FA пароли будут запрашиваться на всех сервисах, подключенных к данному каталогу пользователей (например, при входе в Windows, ADFS и OWA).

Protectimus DSPA добавляет к статическим паролям приставку в виде 6 цифр — одноразовый пароль, который генерируется по алгоритму TOTP и постоянно меняется. Получается пароль вида: P@ssw0rd!459812. Где:
  • P@ssw0rd! — постоянная часть,
  • 459812 — одноразовый пароль.
Интервал смены одноразовых паролей задает администратор, он должен быть кратным 30 секундам.

Для конечного пользователя аутентификация будет выглядеть так: чтобы войти в свою учетную запись, пользователь вводит свой статический пароль и одноразовый код в одной строке. Для создания одноразовых паролей пользователям необходимо использовать приложение Protectimus SMART.

1. Установите On-Premise платформу Protectimus

1.1. Windows

Скачайте инсталлятор On-Premise платформы Protectimus для Windows здесь.

Компонент Protectimus DSPA будет установлен автоматически.

1.2. Другая операционная система

Установите локальную платформу Protectimus, используя Docker. Инструкции вы найдете здесь.

2. Зарегистрируйтесь

Установщик автоматически откроет регистрационную форму по адресу http://localhost:8080.

Пожалуйста, создайте учетную запись и войдите в систему для настройки необходимых параметров. Настройка Protectimus DSPA - пройдите регистрацию

3. Создайте поставщика пользователей

  1. После запуска платформы и регистрации в системе Protectimus, войдите в свою учетную запись и во вкладке DSPA выберите Добавить службу > Добавить поставщика пользователей.
Настройка Protectimus DSPA - создайте поставщика пользователей шаг 1 Настройка Protectimus DSPA - создайте поставщика пользователей шаг 2  
  1. Заполните данные о службе каталогов.
Настройка Protectimus DSPA - создайте поставщика пользователей шаг 3   Основные настройки:
ПолеЗначениеПримечание
UrlsUrl адрес подключения к вашему серверу LDAPПример:
ldaps://dc1.domain.local:636
Для DSPA необходимо использовать именно ldaps соединение, также нужно импортировать SSL сертификат.
Стандартный способ:
keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit
Base DNПолный DN каталога, в котором находятся ваши пользователиПример:
DC=domain,DC=local
User DnDN администратора или пользователя, который имеет доступ к информации пользователейПример:
CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local
У пользователя должны быть права на смену паролей.
ПарольПароль указанного пользователя
ФильтрФильтр, который будет применен при синхронизацииИспользуйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать.

Пример:
(memberOf=CN=DSPA Group, DC=domain, DC=local)

Для импорта пользователей из определенной группы
(mail=*)

для импорта только тех пользователей, у которых указан атрибут mail
 
  1. После успешного добавления поставщика пользователей, необходимо синхронизировать пользователей со службой каталогов. Это можно сделать тремя способами:
  2.  
  • Нажать кнопку Синхронизировать сейчас.
Настройка Protectimus DSPA - кнопка Синхронизировать сейчас  
  • Использовать возможность синхронизации отдельных пользователей из каталога, для этого выберите Синхронизировать отдельных пользователей.
Настройка Protectimus DSPA - кнопка Синхронизировать отдельных пользователей  
  • Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.
Настройка Protectimus DSPA - Активировать автоматическую синхронизацию пользователей

4. Добавьте пароли пользователям

ОБРАТИТЕ ВНИМАНИЕ! Вы можете активировать портал самообслуживания пользователей, чтобы ваши пользователи могли сами указать свои пароли. О настройке портала самообслуживания читайте ниже.
Чтобы задать пароль пользователю вручную:
  1. Перейдите на страницу редактирования пользователя (нажмите на кнопку Пользователи в меню слева). После этого нажмите на Логин пользователя > Действия > Редактировать, чтобы перейти в меню редактирования пользователя.
Настройка Protectimus DSPA - задайте пароли пользователям шаг 1  
  1. Задайте пароль пользователя в соответствующем поле и нажмите Сохранить.
Настройка Protectimus DSPA - задайте пароли пользователям шаг 2

5. Добавьте токены

На данный момент компонент Protectimus DSPA совместим только с токенами-приложениями на iOS и Android Protectimus Smart OTP, поэтому рекомендуем активировать портал самообслуживания пользователей, чтобы ваши конечные пользователи могли самостоятельно выпустить токены. О настройке портала самообслуживания читайте ниже.
В этом пункте мы опишем как создать токен вручную:
  1. Выберите синхронизированного пользователя и нажмите Назначить токен, после — Новый.
Настройка Protectimus DSPA - создание токенов вручную шаг 1  
  1. Выберите токен Protectimus SMART и настройте его. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.
Настройка Protectimus DSPA - создание токенов вручную шаг 2

6. Активация и деактивация Protectimus DSPA

  1. Чтобы активировать компонент Protectimus DSPA, перейдите во вкладку DSPA и активируйте чекбокс напротив параметра  Активность. Соответственно, чтобы деактивировать компонент Protectimus DSPA, необходимо снять галочку с параметра Активность.

    При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).
Активация и деактивация Protectimus DSPA  
  1. Для работы Protectimus DSPA необходимы:
    • Настроенный поставщик пользователей;
    • Синхронизированный пользователь;
    • Установленный у пользователя пароль;
    • Токен назначенный на пользователя.
    Проверить выполнения данных условий можно по нажатию на кнопку Пользователи на вкладке DSPA.
Как проверить все ли настроено для работы Protectimus DSPA Как проверить все ли настроено для работы Protectimus DSPA  
  1. Результаты обновления паролей можно видеть в таблице ниже. При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).
При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть)  
  1. Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов.
Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов

7. Настройка портала самообслуживания пользователей

Если вы хотите, чтобы пользователи самостоятельно создавали свои токены и задавали пароли, воспользуйтесь Порталом самообслуживания пользователей.

На странице с информацией о Ресурсе необходимо перейти на вкладку Самообслуживание и включить самообслуживание для ресурса, указав адрес, по которому будет доступна страница самообслуживания.

Более подробная инструкция по настройке портала самообслуживания доступна здесь. Настройка портала самообслуживания пользователей - шаг 1 Настройка портала самообслуживания пользователей - шаг 2 Настройка портала самообслуживания пользователей - шаг 3 Настройка портала самообслуживания пользователей - шаг 4

8. Работа пользователей с порталом самообслуживания

8.1. Авторизация на портале самообслуживания

Для авторизации на портале самообслуживания вашему пользователю необходимо перейти по адресу, который был указан при создании портала, и использовать логин (CN) и одноразовый пароль, который будет прислан на email. Вход пользователя в портал самообслуживания пользователей Портал самообслуживания пользователей

8.2. Создание токена Protectimus SMART OTP

  1. Пользователю нужно выбрать пункт Регистрация и Назначение нового токена. После этого откроется список доступных к созданию типов токенов, нужно выбрать Protectimus SMART.
Выберите Регистрация и Назначение нового токена Выберите Protectimus SMART  
  1. Пользователь должен выбрать токен Protectimus SMART, после чего откроется окно, в котором нужно ввести имя токена, задать длину одноразового пароля, выбрать время жизни одноразового пароля и нажать на кнопку Показать QR-код.

    Полученный QR код нужно просканировать с помощью приложения Protectimus Smart OTP, предварительно установив его на свой смартфон. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.

    Далее для создания токена необходимо ввести OTP, сгенерированный при помощи приложения Protectimus SMART OTP.
Выпуск токена Protectimus Smart

8.3. Создание пароля

  1. Пользователь должен перейти во вкладку Создание пароля.
Перейдите во вкладку Создание пароля  
  1. После этого нужно ввести пароль такой же, как указан в службе каталогов.
Введите такой же пароль, как указан в службе каталогов

Winlogon & RDP 2FA

 
Компонент Protectimus Winlogon & RDP 2FA для двухфакторной аутентификации в Windows защищает доступ к Windows как локально, так и через RDP.

Решение двухфакторной аутентификации Protectimus Winlogon & RDP позволяет защитить доступ к компьютерам под управлением слкдующих операционных систем:

  • Windows 8;
  • Windows 8.1;
  • Windows 10;
  • Windows 11;
  • Windows Server 2012;
  • Windows Server 2016;
  • Windows Server 2019;
  • Windows Server 2022.

Функция бэкап кодов позволяет пользователям Windows входить в свои учетные записи, защищенные двухфакторной аутентификацией, даже если компьютер не подключен с сети. При установке компонента Protectimus Winlogon на компьютер, администратор может выпустить и сохранить бэкап код, который заменит одноразовый пароль при входе в любую из учетных записей на этом компьютере в оффлайн режиме.

Вы можете узнать больше о нашем решении двухфакторной аутентификации для Windows и RDP здесь.

Ниже приведена подробная инструкция по настройке двухфакторной аутентификации в Windows с помощью Protectimus.

1. Зарегистрируйтесь и задайте базовые настройки

Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.

2. Создайте ресурс

Ресурсы служат для логического объединения пользователей и токенов, а также для удобного управления ими. Подробная инструкция по созданию ресурсов доступны здесь.

3. Настройте политики доступа

  1. Перейдите на страницу Ресурсы.
Настройка Protectimus Winlogon & RDP - политики аутентификации 1  
  1. Нажмите на название ресурса.
Настройка Protectimus Winlogon & RDP - политики аутентификации 2  
  1. Перейдите во вкладку Winlogon.
Настройка Protectimus Winlogon & RDP - политики аутентификации 3  
  1. Вы увидите список политик доступа. Настройте решение в соответствии с вашими требованиями. Мы настоятельно рекомендуем вам активировать автоматическую регистрацию пользователей и токенов.

    После активации этой функции, при первом входе в учетную запись, пользователь должен будет ввести свой обычный Windows логин, пароль, а после этого выпустить токен.

    Чтобы активировать авторегистрацию пользователей и токенов, отметьте галочками следующие пункты:
    • Доступ незарегистрированным пользователям;
    • Авторегистрация пользователей;
    • Авторегистрация токенов;
    • Выберите тип токена, который сможет выпустить пользователь (Protectimus Mail, Protectimus SMS, или Protectimus SMART OTP).
Настройка Protectimus Winlogon & RDP - авторегистрация пользователей и токенов  
ВНИМАНИЕ!
Вы можете задать разные настройки для локального доступа и для удаленного доступа по RDP.
  1. Доступ (активируется по умолчанию)
    Открывает доступ к компьютеру. Если этот параметр деактивирован, доступ к компьютеру локально и/или по RDP будет полностью закрыт.
  2. Применить 2FA (активируется по умолчанию) 
    Этот параметр активирует двухфакторную аутентификацию при входе в учетную запись Windows локально и/или по RDP. Если этот параметр деактивирован, одноразовый пароль запрашиваться не будет.
  3. Доступ незарегистрированным пользователям
    • Этот параметр позволяет активировать двухфакторную аутентификацию только для выбранных пользователей. Например, одним компьютером пользуется 3 человека — John, Adam и Michael, но вы хотите, чтобы одноразовый пароль запрашивался только при входе в учетную запись Adam. Для этого в сервисе Protectimus необходимо создать только одного пользователя (Adam) и активировать параметр доступа незарегистрированным пользователям, чтобы остальные пользователи (John и Michael) входили без двухфакторной аутентификации.
    • Если этот параметр не активирован, войти в свои учетные записи смогут только пользователи, зарегистрированные в сервисе Protectimus.
    • Без активации этого параметра невозможна авторегистрация пользователей и токенов.
  4. Однофакторный доступ
    Если этот параметр активирован, пользователи, назначенные на ресурс без токенов, могут входить в свои учетные записи без одноразовых паролей.
  5. Авторегистрация пользователей
    Если этот параметр активирован, при своем первом входе в учетную запись пользователь пройдет автоматическую регистрацию в сервисе Protectimus и будет назначен на текущий ресурс.
  6. Авторегистрация токенов
    Если этот параметр активирован, при первом входе в свою учетную запись пользователь должен будет выпустить токен. Тип токена, который будет доступен пользователю, необходимо выбрать в поле “Тип токена”.
  7. Тип токена
    В этом поле необходимо выбрать тип токена, который будет доступен пользователю при авторегистрации.
  8. Доступ по IP
    Если вы активируете этот параметр и добавить список разрешенных IP адресов ниже, то при входе  с доверенных IP адресов у пользователей не будет запрашиваться одноразовый пароль.
  9. Разрешенные IP адреса
    Если вы активировали доступ по IP, добавьте список доверенных IP адресов при входе с которых не будет запрашиваться одноразовый пароль.
 
ОБРАТИТЕ ВНИМАНИЕ!

Чтобы использовать аппаратные OTP токены или доставку одноразовых паролей через чат-ботов в мессенджерах:
  1. Добавьте пользователей вручную.

    ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен соответствовать имени пользователя в Windows. Перед созданием пользователя убедитесь, что Ваше имя пользователя Windows содержит только латиницу, цифры и следующие символы: _-∽!#.$.. Пробелы и любые другие символы не допускаются.

    Для защиты локальной учетной записи пользователя в Windows, пользователь в сервисе Protectimus должен иметь логин вида login, где login — это имя пользователя в Windows. Например, если имя Вашего пользователя в Windows John-Doe, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe

    Для учетных записей пользователей в Active Directory логин пользователя в сервисе должен иметь вид login@domain, где login — это имя пользователя в AD, а domain — Ваш корпоративный домен. Например, если имя Вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe@google

  2. Добавьте токены вручную.
  3. Назначьте токены пользователям.
  4. Назначите токены с пользователями на ресурс.

4. Установите Protectimus Winlogon

  1. Скачайте инсталлятор Protectimus Winlogon здесь.
  2. Запустите инсталлятор от имени администратора.
Protectimus OWA two-factor authentication component installation - run the intaller as administrator  
  1.  Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.
Protectimus Winlogon setup - step 1  
  1. Ознакомьтесь с лицензионным соглашением, выберите пункт I accept the license и нажмите Next, чтобы продолжить установку.
Protectimus Winlogon setup - step 2 (License Agreement)  
  1.  Введите API URL, API Login, API Key и нажмите Login.Эти параметры означают:
    • API URL. При использовании сервиса используйте данный API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа.
    • Login. Это адрес электронной почты, который был выбран при регистрации в сервисе.
    • API Key. Ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.
Protectimus Winlogon setup - step 3 (Login)  
  1. Resource ID. Выберите Ресурс, который вы создали перед началом установки. Затем нажмите Next, чтобы продолжить установку.
Если вы еще не создали ресурс, добавьте его сейчас. Нажмите Add Resource и придумайте любое имя ресурса.
Protectimus Winlogon setup - step 4 (Resource ID)  
  1. Задайте групповые настройки, если это необходимо. На этом этапе вы можете включить 2FA для главного администратора или для группы пользователей. По умолчанию двухфакторная аутентификация будет применена для всех учетных записей на этом компьютере, кроме главного администратора.
Protectimus Winlogon setup - step 5 (2FA Policy)  
  1. Если вы устанавливаете компонент Protectimus Winlogon & RDP 2FA на контроллере домена (DC), на этом этапе вы можете создать объект групповой политики (GPO) для автоматической установки программного обеспечения Protectimus на все машины в домене.

    GPO будет содержать скрипт для автоматической установки при запуске компьютера.

    В ввыпадающих меню вы можете выбрать компьютеры, на которые будет установлен компонент Protectimus с помощью объектов групповой политики (GPO). Принцип выбора компьютеров аналогичен тому, который используется при работе с группами на предыдущем этапе. Если флажок «Create GPO for install in domain» не выбран, выпадающие меню будут отключены.

  2. ВНИМАНИЕ!

    Если вы решите удалить компонент Protectimus Winlogon & RDP на контроллере домена, вам будет предложено создать объект групповой политики (GPO) для автоматического удаления этого программного обеспечения на всех других машинах в домене.

    Если вы используете GPO для удаления Protectimus Winlogon на всех машинах в вашем домене, удалите этот объект групповой политики вручную после того, как удалите все ПО Protectimus на всех компьютерах.

    Если вы не удалите этото объект групповой политики вручную, это может привести к конфликтам при повторной установке компонента Protectimus Winlogon & RDP.

Protectimus Winlogon setup - step 7 (Install Policy)  
  1. Сохраните бэкап код в безопасном месте. Этот код нужен для входа в учетные записи Windows в офлайн режиме (при отсутствии подключения к интернету). Один и тот же бэкап код сработает для всех учетных записей на этом компьютере.
ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме.
Protectimus Winlogon setup - step 6 (Backup Code)  
  1. Если это НЕ контроллер домена, просто нажмите Install.

    Protectimus Winlogon installation - last step - without GPO

    Если вы устанавливаете компонент двухфакторной аутентификации Protectimus Winlogon & RDP на контроллер домена, у вас будет три варианта. Выберите тот, который лучше всего вам подходит:
    • Install on current computer: При выборе этой опции компонент Protectimus устанавливается непосредственно на текущем компьютере. Например, если установка происходит на контроллере домена, и на экране «Install Policy» мы указали, что компонент не должен быть установлен на контроллере домена, то выбор этого флажка приведет к его установке на текущем компьютере, то есть на контроллере домена.
    • Run direct install: Эта опция открывает окно установки, позволяющее установить компонент непосредственно на любой компьютер в домене.
    • Protect installation from deletion: Включение этой опции обеспечивает защиту компонента от удаления на рабочих станциях, гарантируя, что его можно будет удалить только через авторизованные действия на контроллере домена, тем самым повышая уровень безопасности.

Protectimus Winlogon installation - last step - GPO

Если вы выберете опцию Run direct install, вы увидите следующий экран.

На этом экране вы увидите список всех компьютеров в домене и сможете установить компонент непосредственно на любой из них. Этот вариант удобен, если вы хотите избежать перезагрузки конкретного компьютера при установке компонента через GPO.

По умолчанию выбраны все компьютеры, кроме контроллера домена (DC). Процесс установки на каждый компьютер может занять некоторое время, обычно около 30-40 секунд. Мы рекомендуем использовать эту функцию для установки компонента на несколько компьютеров, а не на большое количество. Для массовых установок лучше использовать GPO.

Чтобы получить информацию о статусе компьютера необходимо навести курсор на его имя, и появится всплывающая подсказка с описанием.

Столбец Component Version отображает версию, если компонент установлен.

Кнопка Reset All сбрасывает флажки со всех чекбоксов.

А кнопка G1/G2 выбирает компьютеры в соответствии с настройками на экране Install Policy (шаг 8).

Protectimus Winlogon installation - last step - GPO

  1. После завершения установки нажмите кнопку OK. При следующем запуске компьютера компонент уже будет активен.
Protectimus Winlogon setup - step 8 (The istallation was successful)

5. Настройка доступа через RDP

ВНИМАНИЕ! Если Вы НЕ выполните следующие действия, доступ к компьютеру по RDP будет полностью запрещен.
  1. Перейдите на страницу Ресурсы, нажмите на название ресурса и выберите вкладку Winlogon.
  2. Активируйте параметр Доступ для RDP. Активация данного параметра открывает доступ к компьютеру по протоколу RDP без двухфакторной аутентификации.
Настройка Protectimus Winlogon & RDP - доступ по RDP  
  1. Чтобы включить двухфакторную аутентификацию при запросе доступа по RDP, дополнительно активируйте параметр Применить 2FA при доступе через RDP.
Настройка Protectimus Winlogon & RDP - доступ по RDP с двухфакторной аутентификацией

6. Работа в офлайн режиме (бэкап коды)

Чтобы система двухфакторной аутентификации Protectimus работала в штатном режиме, компьютер должен быть подключен к сети интернет.

Для экстренных случаев, когда у пользователя нет возможности подключиться к сети, предусмотрена возможность входа в учетную запись с использованием бэкап кода вместо одноразового пароля.

Первый бэкап код выдается при установке компонента. Этот код действует для всех учетных записей, зарегистрированных на данном компьютере.

ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме. Этот бэкап код также будет действовать для всех учетных записей на этом компьютере.
Protectimus Winlogon setup - step 6 (Backup Code)

Перевыпуск бэкап кода

Если по какой-то причине бэкап код был утерян, пользователь может выпустить новый бэкап код. Для этого необходима специальная утилита, которую главный администратор Protectimus должен запросить по адресу [email protected].

Чтобы воспользоваться утилитой:
  • Войдите в свою учетную запись Windows.
  • Скачайте и запустите утилиту.
  • Нажмите CTRL+ALT+DEL
  • Сохраните ваш новый бэкап код.

7. Логи и ошибки

В случае возникновения ошибки, есть несколько способов проверить, что происходит. Прежде всего, можно проверить логи системы в Windows (Event Viewer -> Windows Logs ->  Application).

В платформе логи можно найти в директориях PLATFORM_DIR и TOMCAT_HOME/logs.

Также посетите страницу «События» в Платформе, и вы увидите соответствующую информацию.

8. Удаление программы

Если у Вас нет доступа к учетной записи в Windows, удалить компонент Protectimus Winlogon можно через безопасный режим.
  1. Войдите в меню установки и удаления программ в своей операционной системе, найдите программу Protectimus WinLogon и нажмите Удалить.
  2. Подтвердите, что хотите удалить программу.
  3. Вы увидите диалоговое окно, оповещающее вас об успешном удалении программы. Нажмите кнопку OK, чтобы завершить процесс.

ВНИМАНИЕ!

Если вы решите удалить компонент Protectimus Winlogon & RDP на контроллере домена, вам будет предложено создать объект групповой политики (GPO) для автоматического удаления этого программного обеспечения на всех других машинах в домене.

Если вы используете GPO для удаления Protectimus Winlogon на всех машинах в вашем домене, удалите этот объект групповой политики вручную после того, как удалите все ПО Protectimus на всех компьютерах.

Если вы не удалите этото объект групповой политики вручную, это может привести к конфликтам при повторной установке компонента Protectimus Winlogon & RDP.

Ubuntu 2FA

С помощью решения Protectimus Ubuntu 2FA двухфакторная аутентификация в Ubuntu настраивается в несколько шагов.

Решение Protectimus Ubuntu 2FA надежно защитит учетные записи пользователей Ubuntu от несанкционированного доступа, фишинга, перебора данных, социальной инженерии, подмены данных и других подобных угроз.

1. Как работает двухфакторная аутентификация в Ubuntu

После того, как вы подключите решение Protectimus Ubuntu 2FA и активируете двухфакторную аутентификацию в Ubuntu, при входе в Ubuntu ваши пользователи будут вводить два разных типа паролей:

  1. Первый — это стандартный пароль (тот, который пользователь хранит в памяти);
  2. Второй — временный одноразовый код, действительный только в течение 30 или 60 секунд (этот код генерируется с помощью 2FA токена или 2FA приложения на телефоне пользователя — то есть на устройстве, которое пользователь носит с собой).

Таким образом, учетная запись Ubuntu будет защищена двумя разными факторами аутентификации. Даже если злоумышленник украдет пароль пользователя с помощью фишинга, перебора данных, социальной инженерии, подмены данных или любым другим способом, он не сможет получить доступ к учетной записи Ubuntu без одноразового пароля с физического OTP токена или телефона пользователя.

В этом руководстве показано, как настраивается двухфакторная аутентификация в Ubuntu с помощью компонента Protectimus RADIUS 2FA. Для настройки многофакторной аутентификации в Ubuntu вы можете провести интеграцию с Облачным сервисом 2FA Protectimus или On-Premise платформой Protectimus.

Схема работы решения двухфакторной аутентификации Protectimus Ubuntu 2FA

2. Как настраивается двухфакторная аутентификация в Ubuntu

Интеграция двухфакторной аутентификации Protectimus в Ubuntu возможна по протоколу RADIUS:
  1. Установите и настройте компонент Protectimus RADIUS Server.
  2. Зарегистрируйтесь в Облачном 2FA сервисе или установите Локальную 2FA платформу Protectimus и задайте базовые настройки.
  3. Настройте Ubuntu.

2.1. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке компонента Proteсtimus RADIUS Server доступна здесь.

2.2. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.3. Настройте Ubuntu

apt install libpam-radius-auth vim /etc/pam_radius_server.conf
# server[:port]    shared_secret      timeout (s)
127.0.0.1          secret             1
ВАЖНО! Вместо 127.0.0.1 укажите свой IP платформы

SSH

vim /etc/sshd/sshd_config
ChallengeResponseAuthentication yes

Local authentication + OTP via Protectimus

vim /etc/pam.d/ssh
# Standard Un*x authentication.
@include common-auth

auth    required    pam_radius_auth.so

Authentication + OTP via Protectimus

vim /etc/pam.d/ssh
# Standard Un*x authentication.
#@include common-auth

auth    required    pam_radius_auth.so

GUI

/etc/pam.d/gdm-password
auth required pam_radius_auth.so

Citrix ADC & Citrix Gateway 2FA

В этом руководстве показано, как настроить Citrix 2FA с помощью системы двухфакторной аутентификации Protectimus.

Интеграция Citrix ADC (NetScaler ADC), Citrix Gateway (NetScaler Gateway), а также Citrix Virtual Apps and Desktops (XenApp & XenDesktop) с системой двухфакторной аутентификации Protectimus возможна по протоколу RADIUS.

Настройка политик аутентификации в Citrix позволит отправлять запрос на аутентификацию по протоколу RADIUS, который будет принят и обработан компонентом Protectimus RADIUS Server. Приняв запрос, Protectimus RADIUS Server обратится к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля от пользователя. Ответ от сервера двухфакторной аутентификации Protectimus возвращается Protectimus RADIUS Server и далее направляется обратно на сторону Citrix.

Ниже приведен пример настройки Citrix Gateway 2FA (NetScaler Gateway 2FA).

Схема работы решения двухфакторной аутентификации Protectimus Citrix Gateway 2FA

Чтобы настроить Citrix Gateway 2FA, выполните указанные ниже действия:
  1. Установите и настройте компонент Protectimus RADIUS Server.
  2. Зарегистрируйтесь в Облачном 2FA сервисе или установите Локальную MFA платформу Protectimus и задайте базовые настройки.
  3. Настройте политики аутентификации Citrix.

1. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Proteсtimus RADIUS Server доступна здесь.

2. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

3. Настройте политики аутентификации Citrix Gateway

1. Configure the LDAP policy

В качестве первого фактора будем использовать доменную аутентификацию пользователя в Active Directory. Для этого настроим политику LDAP:
  1. Переходим Citrix Gateway → Policies → Authentication → LDAP.
  2. Выбираем вкладку Servers и добавляем новый сервер (add).
  3. Настраиваем подключение к LDAP:
    • Указываем IP адрес сервера ActiveDirectory и его порт. По умолчанию используется порт 389.

      ВНИМАНИЕ! Для поддержки функции смены пароля при первом входе или при истечении его срока действия используется LDAPS порт 636. Также, для корректной работы этой функции нужно импортировать SSL сертификат.
    • Указываем полный путь к хранилищу пользователей:
      CN=Users,DC=protectimus,DC=office
    •  
    • Указываем полное имя администратора домена:
      CN=admin,CN=Users,DC=protectimus,DC=office
    •  
    • Нажимаем “BindDN Password” и указываем пароль администратора домена. Остальное оставляем как есть.
  Citrix Gateway two-factor authentication setup - step 1  
  1. Переходим во вкладку Policies и добавляем созданный сервер.
  2.  
  3. Для Expression указываем ns_true.
  Citrix Gateway two-factor authentication setup - step 2

2. Настройка второго фактора по протоколу RADIUS

  1. Переходим NetScaler Gateway → Polices → Authetication → RADIUS Выбираем вкладку Servers.
Citrix Gateway two-factor authentication setup - step 3  
  1. Добавляем сервер.
  2. Задаем настройки Radius-сервера для подключения к Protectimus RADIUS Server.
  3. Указываем IP адрес машины, на которой запущен Protectimus RADIUS Server, указываем порт, как было задано в конфигурационном файле radius.yml.
  4. Указываем SecretKey, такой же, как и в radius.yml.
Citrix Gateway two-factor authentication setup - step 4  
  1. Переходим во вкладку Policies, выбираем созданный сервер, в Expression указываем ns_true.
Citrix Gateway two-factor authentication setup - step 5

3. Настройка виртуального сервера

Мы закончили с настройкой политик и факторов аутентификации закончили, теперь необходимо указать их в виртуальном сервере.
  1. Переходим NetScaler Gateway → VirtualServers, выбираем Ваш сервер, во вкладке Authentication жмем “+”.
Citrix Gateway two-factor authentication setup - step 6  
  1. Выбираем Policy – LDAP Choose Type – Primary. Затем нажимаем Continue.
Citrix Gateway two-factor authentication setup - step 7  
  1. Нажимаем Add Binding и выбираем политику при помощи Select Policy. Выбираем LDAP policy.
Citrix Gateway two-factor authentication setup - step 8  
  1. Проделаем то же самое для RADIUS.
Citrix Gateway two-factor authentication setup - step 9  
  1. Выбираем Policy – RADIUS ChooseType – Secondary, выполняем дальнейшие шаги такие же, как и для политики LDAP.
  На этом настройка Citrix Gateway 2FA завершена, вы активировали двухфакторную аутентификацию для Citrix. При возникновении любых вопросов обращайтесь в службу поддержки Protectimus.

Cisco AnyConnect 2FA

В этом руководстве по настройке Cisco AnyConnect 2FA показано, как организовать двухфакторную аутентификацию в Cisco AnyConnect с помощью системы мультифакторной аутентификации Protectimus.

Интеграция Cisco AnyConnect с системой двухфакторной аутентификации Protectimus возможна по протоколу RADIUS.

Настройка политик аутентификации в Cisco AnyConnect позволит отправлять запрос на аутентификацию по протоколу RADIUS, который будет принят и обработан компонентом Protectimus RADIUS Server. В свою очередь, Protectimus RADIUS Server, приняв запрос, обратится к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля от пользователя и возвратит ответ Cisco AnyConnect, опять же используя протокол RADIUS.

Ознакомьтесь со схемой настройки Cisco AnyConnect 2FA. В ней показано как работает двухфакторная аутентификация для Cisco AnyConnect при интеграции с Protectimus через RADIUS.

Схема работы решения двухфакторной аутентификации Protectimus Cisco AnyConnect 2FA

Для настройки двухфакторной аутентификации (2FA) для Cisco AnyConnect:
  1. Установите и настройте Protectimus RADIUS Server.
  2. Зарегистрируйтесь в Облачном 2FA сервисе или установите Локальную 2FA платформу Protectimus и задайте базовые настройки.
  3. Настройте политики аутентификации Cisco AnyConnect .

1. Установите и настройте Protectimus RADIUS Server

Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

2. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

3. Настройте политики аутентификации Cisco AnyConnect

1. Добавьте RADIUS сервер в конфигурацию Cisco ASA:

  • Подключитесь к Cisco ASA с помощью Cisco ASDM
  • Откройте конфигурацию Configuration —> Remote Access VPN —> AAA/Local Users —> AAA Server Groups
  • Нажмите AAA Server Groups —> Add (1, 2)
  • Задайте имя сервера и параметры как указано на рисунке ниже (3)
  • Нажмите OK (4)
Cisco AnyConnect two-factor authentication setup - step 1

2. Добавьте RADIUS сервер в группу серверов:

  • Выберите группу серверов RADIUS Server Group, которую вы только что создали (1)
  • Нажмите Add (2)
  • Задайте параметры своего RADIUS сервера (3)
  • Нажмите OK (4)
Cisco AnyConnect two-factor authentication setup - step 2

3. Создайте AnyConnect VPN соединение:

  1. Откройте AnyConnect VPN Wizard. Нажмите Wizards —> VPN Wizards —> AnyConnect VPN Wizard как показано на рисунке ниже.
Cisco AnyConnect two-factor authentication setup - step 3  
  1. После этого нажмите Next как показано на рисунке ниже.
Cisco AnyConnect two-factor authentication setup - step 4  
  1. Укажите имя соединения и интерфейса: Connection Profile Name и VPN Access Interface (1). Затем нажмите Next (2).
Cisco AnyConnect two-factor authentication setup - step 5  
  1. Настройте VPN протоколы и добавьте сертификат как показано на рисунке ниже.
Cisco AnyConnect two-factor authentication setup - step 6 Cisco AnyConnect two-factor authentication setup - step 7  
  1. При необходимости вы можете сгенерировать и добавить самоподписанный сертификат, как показано на рисунке ниже. После этого нажмите OK —> OK —> Next.
Cisco AnyConnect two-factor authentication setup - step 8  
  1. Добавьте образ VPN клиента (файлы *.pkg).
Cisco AnyConnect two-factor authentication setup - step 9  
  1. Настройке методы аутентификации:
  • В поле AAA Server Group выберите группу серверов RADIUS, которую вы создали вначале (1)
  • При необходимости внесите изменения в имя или IP адрес сервера (2)
  • Нажмите Next (3)
Cisco AnyConnect two-factor authentication setup - step 10  
  1. Конфигурация SAML:
  • В поле AAA Server Group выберите группу серверов RADIUS, которую вы создали вначале (1)
  • В поле SAML Server оставьте значение “None (2)
  • Нажмите Next (3)
Cisco AnyConnect two-factor authentication setup - step 11  
  1. Настройте пул IP адресов, которые будут выдаваться клиентам:
  • Выберите создать новый — New (1)
  • Укажите параметры IP пула: название (Name), начальный IP адрес (Starting IP Address), конечный  IP адрес (Ending IP Address), и маску (Subnet Mask) (2, 3)
  • После этого нажмите Next (4)
Cisco AnyConnect two-factor authentication setup - step 12 Cisco AnyConnect two-factor authentication setup - step 13  
  1. Укажите DNS сервер.
Cisco AnyConnect two-factor authentication setup - step 14  
  1. Настройте исключения из NAT:
  • Отметьте галочкой Exempt VPN traffic from network address translation (1)
  • Настройте исключения для Inside Interface (2)
  • После этого нажмите Next (3)
Cisco AnyConnect two-factor authentication setup - step 15  
  1. Разрешите подключение по https, для этого отметьте галочкой Allow Web Launch (1). Затем нажмите Next.
Cisco AnyConnect two-factor authentication setup - step 16  
  1. Проверьте заданные настройки и нажмите Finish.
Cisco AnyConnect two-factor authentication setup - step 17

Интеграция двухфакторной аутентификации в Cisco AnyConnect завершена. Если у вас есть вопросы по настройке Cisco AnyConnect 2FA, свяжитесь со службой поддержки Protectimus.

RADIUS 2FA

Решение двухфакторной аутентификации Protectimus RADIUS 2FA подходит для защиты любого программного обеспечения или оборудования, которое поддерживает протокол аутентификации RADIUS.


Коннектор Protectimus RADIUS Server работает как RADIUS сервер. Он передает запросы аутентификации от устройства или ПО, ктоторое подключено к Protectimus RADIUS Server по протоколу RADIUS, на сервер многофакторной аутентификации (MFA) Protectimus и возвращает ответ с разрешением или запретом доступа.


Схема работы решения двухфакторной аутентификации Protectimus RADIUS 2FA

Подключите двухфакторную аутентификацию (2FA/MFA) к VPN, Wi-Fi и любому другому программному обеспечению или девайсу, поддерживающему RADIUS аутуентификацию и защитите доступ к учетным записям пользователей от несанкционированного доступа. Двухфакторная аутентификация (2FA/MFA) — это мощное средство защиты от фишинга, подмены данных, кейлогеров, социальной инженерии и других подобных угроз.


Список программного обеспечения и устройств, которые можно интегрировать с Protectimus по протоколу аутентификации RADIUS, включает, но не ограничивается:



Программное обеспечение Protectimus RADIUS 2FA легко настроить и интегрировать с вашей системой. Но если у вас возникнут вопросы, наша команда всегда готова помочь с интеграцией двухфакторной аутентификации (2FA) по RADIUS даже в самую сложную инфраструктуру. Просто свяжитесь с нашей службой поддержки.


Чтобы интегрировать решение Protectimus 2FA с устройством или программным обеспечением, поддерживающим RADIUS, необходимо установить и настроить Protectimus RADIUS Server, а затем настроить политики аутентификации на устройстве или в приложении, которое вы хотите интегрировать с Protectimus (это устройство или приложение должно поддерживать протокол RADIUS):
  1. Запрос на аутентификацию передается по протоколу RADIUS на Protectimus RADIUS Server;
  2. Protectimus RADIUS Server принимает и обрабатывает этот запрос;
  3. Далее Protectimus RADIUS Server обращается к серверу аутентификации Protectimus для проверки одноразового пароля от пользователя.

1. Установите Protectimus RADIUS Server

1.1. Установка Protectimus RADIUS Server из Docker-образа

  1. Для установки Protectimus RADIUS Server необходимо скачать и установить docker, docker-compose:
 
  1. Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git
 
  1. Перейти в каталог platform-linux/radius и запустить:
docker-compose up -d
 
  1. За процессом разворачивания Protectimus RADIUS Server можно наблюдать используя команду:
docker-compose logs -f
 
  1. После завершения процесса запуска, Protectimus RADIUS Server будет доступен по адресу: https://localhost:8443

1.2. Установка Protectimus RADIUS Server на Windows

  1. Скачайте инсталлятор On-Premise платформы Protectimus здесь.
  2. Запустите инсталлятор от имени администратора.
  3. Выберите RProxy.

    ВНИМАНИЕ!
    Если вы планируете использовать локальную платформу Protectimus, выберите пункт Platform. Более детальная инструкция по установке On-Premise платформы Protectimus на Windows доступна здесь.

    Если вы планируете использовать облачный сервис Protectimus, снимите галочку с пункта Platform.

Если используете On-Premise платформу Protectimus

Если используете Облачный сервис Protectimus

How to install Protectimus RProxy and Protectimus PlatformHow to install Protectimus RProxy is you will use the Protectimus Cloud Service
 
  1. На вашей машине должна быть установлена Java (JDK 8 или выше). Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.
How to install Protectimus RProxy - install Java  
  1. Нажмите Next, чтобы продолжить установку.
How to install Protectimus RProxy - update Java and click Next  
  1. Выберите папку для установки компонентов Protectimus и нажмите Install.
How to install Protectimus RProxy - select folder  
  1. После успешной установки, вы увидите это сообщение.
How to install Protectimus RProxy - the installation was successful

2. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

3. Настройте Protectimus RADIUS Server

Конфигурирование Protectimus RADIUS Server выполняется путём задания настроек в файле radius.yml, который должен быть расположен в той же папке, что и запускаемый файл.

Задайте в файле radius.yml следующие значения:

3.1. Настройки RADIUS

radius:
    secret: secret
    auth-port: 1812
	acct-port: 1813
    listen-address: 0.0.0.0
	dictionaries: 
    	- file:<some_path>/<some_name>.dat
    attributes:
		copy-state: 
			true
        defaults:
            Service-Type: NAS-Prompt-User
        for-users:
            john:
                Service-Type: Login-User
		ldap:
      		memberOf:
        		'[cn=admins,ou=groups,dc=test,dc=com]':
          		Service-Type: Administrative
      		uid:
        		john_wick:
          			Class: Pro
	conditional:
      '[ldapUser.attributes["uid"] == "john"]':
        Service-Type:
          - Login-User
      '[request.getAttributeValue("User-Name") =+ "john"]':
        Class:
          - RDP_HeadOffice_GP

НАЗВАНИЕ ПАРАМЕТРАФУНКЦИЯ ПАРАМЕТРА
secret:
Секрет, который будет использоваться прокси-сервером аутентификации и вашим сервером RADIUS.
auth-port:
Порт на котором будет запущен RADIUS сервер.
listen-address:
IP-адрес, к которому подключается сервер.
dictionaries:
Расширение списка атрибутов для протокола RADIUS. Пример подобного списка атрибутов представлен здесь.
attributes:
Атрибуты, которые будут возвращаться при успешной аутентификации.
copy-state:
Копирует каждый возвращаемый атрибут в ответ.
defaults:
Aтрибуты для всех пользователей.
for-users:
Атрибуты для определенных пользователей.
ldap:
Атрибуты для конкретного пользователя или группы пользователей в LDAP.
conditional:
Когда параметр conditional активирован, вы можете указать скрипт, который будет проверять условия, при выполнении которых атрибут будет возвращаться.
 

3.2. Настройки PROTECTIMUS API (настройка подключения к сервису PROTECTIMUS)

protectimus-api:
    login: 
    api-key: 
    url: https://api.protectimus.com/
    resource-id:
    resource-name:

НАЗВАНИЕ ПАРАМЕТРАФУНКЦИЯ ПАРАМЕТРА
login:
Ваш логин в системе PROTECTIMUS.
api-key:
Ваш ключ API в системе PROTECTIMUS.
url:
Если Вы используете облачный сервис PROTECTIMUS, укажите следующий API URL: https://api.protectimus.com/

Если Вы используете on-premise платформу Protectimus, API URL будет выглядеть примерно так: protectimus.api.url=http://127.0.0.1:8080/
resource-id:
ID ресурса, созданного Вами в системе PROTECTIMUS.
resource-name:
Название ресурса, созданного Вами в системе PROTECTIMUS.
 

3.3. Настройки LDAP

ldap:
    base: dc=test,dc=com
    urls:
      - ldap://127.0.0.1:389
    principal-attribute: userPrincipalName
    custom-filter: (memberof=cn=managers,ou=groups,dc=test,dc=com)

НАЗВАНИЕ ПАРАМЕТРАФУНКЦИЯ ПАРАМЕТРА
base:
LDAP DN группы или подразделения, содержащего всех пользователей, которым вы хотите разрешить вход.
urls:
Имя хоста или IP-адрес вашего контроллера домена.
principal-attribute:
Используется для LDAP аутентификации по определенному атрибуту.

Если вы хотите аутентифицировать пользователя с помощью «sAMAccountName» вместо «userPrincipalName», укажите атрибуты «query-attribute» и «principal-attribute» соответственно.
custom-filter:
Используется для ограничения пользователей, которым разрешено проходить аутентификацию.
 

3.4 Настройка процесса аутентификации

auth:
    providers:
    re-enter-otp: true
    principal-normalization: true
	bypass-otp:
    	ldap-filter: (memberOf=cn=bypass-otp,ou=groups,dc=test,dc=com)
    	usernames:
      		- john
      		- luci
    inline-mode:
      enabled: false
      separator: ''

НАЗВАНИЕ ПАРАМЕТРАФУНКЦИЯ ПАРАМЕТРА
providers:
Могут быть:
  • LDAP
  • PROTECTIMUS_PASSWORD
  • PROTECTIMUS_OTP
  • PROTECTIMUS_PUSH
  • RADIUS_PROXY
re-enter-otp:
Когда параметр re-enter-otp активирован, статический пароль не запрашивается после неудачной проверки OTP-пароля.
principal-normalization:
Когда параметр normalization активирован, любая информация о домене удаляется из имени пользователя, то есть независимо от того, как указано имя пользователя «username», «DOMAIN \ username», или «[email protected]», оно будет преобразовано в одно «username».
bypass-otp:
Когда опция bypass-otp включена, для указанных пользователей не требуется ввод одноразового пароля (OTP).
inline-mode:
Inline mode позволяет использовать 2FA в случае, когда Access-Challenge не поддерживается.

Inline mode можно активировать с помощью ‘enabled: true’ или с помощью атрибута запроса ‘State=INLINE’.

В этом случае пароль должен быть в следующем формате ‘password,otp’, если используется разделитель: ‘,’.
 

3.5. Настройка RADIUS_PROXY Authentication Provider

# Настройки для провайдера аутентификации RADIUS_PROXY
proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1

НАЗВАНИЕ ПАРАМЕТРАФУНКЦИЯ ПАРАМЕТРА
secret:
Секрет, который будет использоваться прокси-сервером аутентификации и вашим сервером RADIUS.
auth-port:
Порт на котором будет запущен RADIUS сервер.
remote-address:
IP-адрес сервера PROXY_RADIUS.
 

3.6. Пример конфигурационного файла radius.yml

radius:
  secret: secret
  auth-port: 1812

dictionaries: 
    - file:C:/Protectimus/dict.dat
  attributes:
    defaults:
      Service-Type: NAS-Prompt-User

auth:
  providers:
    # Could be:
    - LDAP
	- AD
    - PROTECTIMUS_PASSWORD
    - PROTECTIMUS_OTP
    - RADIUS_PROXY
	
# Configuration for RADIUS_PROXY auth provider
proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1
  
#Configuration for AD auth provider
ad:
  urls:
    - ldap://127.0.0.1:389
  domain: test.com

#Configuration for LDAP auth provider
ldap:
  urls:
    - ldap://localhost:389
  base: dc=test,dc=com
  username: [email protected]
  password: secret
  principal-attribute: sAMAccountName

#Configuration for PROTECTIMUS_PASSWORD/PROTECTIMUS_OTP auth providers
protectimus-api:
  login: [email protected]
  api-key: secret
  url: https://api.protectimus.com/
  resource-id: 1


В этом случае пароль будет проверяться через LDAP, а OTP — с помощью Protectimus MFA.

3.7. Пример Dictionary

VENDOR      12356   fortinet 

VENDORATTR  12356   Fortinet-Group-Name         1   string 
VENDORATTR  12356   Fortinet-Access-Profile     6   string



Теперь вам нужно настроить ваше устройство или приложение для связи с Protectimus RADIUS Server по протоколу RADIUS.

Office 365 (SSO) 2FA

Решение двухфакторной аутентификации Protectimus поддерживает систему единого входа (SSO) инициированную поставщиком услуг — SP (Service Provider).

Это означает, что конечные пользователи будут входить в свои учетные записи непосредственно со страницы логина защищаемого ресурса. Когда конечный пользователь пытается войти в защищенный ресурс, запрос авторизации отправляется поставщику удостоверений Identity Provider (Protectimus). Как только Protectimus аутентифицирует личность пользователя, пользователь входит в свою учетную запись на защищенном ресурсе.

Схема взаимодействия On-Premise платформы Protectimus с Microsoft Office 365 через Keycloak представлена ниже. Office 365 two-factor authentication setup

1. Установите платформу Protectimus и задайте базовые настройки

  1. Установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2. Синхронизируйте On-Premise AD с Azure AD

2.1. Откройте office.com

Admin -> Show all -> Azure Active Directory -> Custom domain names -> “Add custom domain”

В DNS создайте TXT запись, чтобы подтвердить добавление домена в Azure AD.

2.2. Скачайте и запустите Azure AD Connect

https://www.microsoft.com/en-us/download/details.aspx?id=47594

Continue -> Customize -> Install (No checked options) -> Password Hash Synchronization -> Next -> Connect to Azure AD:

username@[something].onmicrosoft.com pass:

Next -> Add Directory -> domain

Вы можете создать отдельный Organizational Unit (OU) для пользователей, учетные записи которых должны быть защищены двухфакторной аутентификацией, и настроить синхронизацию только для этого OU. У каждого пользователя в этом OU должен быть прописан адрес электронной почты, он будет использоваться в качестве имени пользователя UPN (User Principal Name).
  • Create new AD account
  • Enterprise ADMIN username: domain\Administrator
  • PASSWORD: пароль администратора Windows AD
(Пример заполнения представлен на рисунке ниже) ↓ Office 365 two-factor authentication setup with Protectimus - step 1

Next -> Next -> Sync Selected Domain Office 365 two-factor authentication setup with Protectimus - step 2

Next -> Next -> Next -> Exit.

3. Настройте Keycloak

3.1. Создайте Realm

Создайте Realm в Keycloack (Add Realm), например, с именем Office365.

3.2. Создайте User Federation

Создайте Mapper:
  • Name: saml.persistent.name.id.for.urn:federation:MicrosoftOnline
  • Mapper Type: user-attribute-ldap-mapper
  • User Model Attribute: saml.persistent.name.id.for.urn:federation:MicrosoftOnline
  • LDAP Attribute: objectGUID
  • Read Only: ON
  • Always Read Value from LDAP: ON
  • Is Mandatory in LDAP: OFF
  • Is Binary Attribute: OFF
Office 365 two-factor authentication setup with Protectimus - step 3

3.3. Создайте Клиента

  1. Для этого при создании необходимо импортировать этот файл:

    https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml

  2. ВНИМАНИЕ! Важно чтобы имя файла было: «urn:federation:MicrosoftOnline»
  3. Отредактируйте свойства клиента:
    • Client Signature Required – Disable
    • Signature Algorithm – “RSA_SHA1”
  4. Создайте Mapper для клиента “Add builtin” -> X500 email
    • Mapper: Name: IDPEmail
    • Mapper Type: User Property
    • Property: email
    • SAML Attribute Name: IDPEmail
    В качестве username будет использоваться email пользователя в Active Directory.
Office 365 two-factor authentication setup with Protectimus - step 4

4. Привяжите Office 365 к Keycloak

4.1. Получите сертификат SAML

Прежде всего, нужно получить сертификат SAML и проверить его, используя этот URL:

https://kc.dev.protectimus.com/auth/realms/[realm name]/protocol/saml/descriptor

Или проверьте сертификат с помощью соответствующей функции в интерфейсе — SAML key.

4.2. Установите необходимое ПО

  • Install-Module -Name AzureAD
  • Install-Module MSOnline
Если возникнет вопрос об установке NuGet и PSGallery — установите их тоже.

4.3. Привяжите Office 365 к Keycloak

Выполните следующий скрипт:
# get the public key certificate from keycloak
# https://kc.dev.protectimus.com/auth/realms/2608/protocol/saml/descriptor
# see X509Certificate
$cert="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"

$uri="https://kc.dev.protectimus.com/auth/realms/Office365/protocol/saml"
$issuer_uri="https://kc.dev.protectimus.com/auth/realms/Office365"
$dom="yourdomain.com"

$cred = Get-Credential
Connect-MsolService -Credential $cred

Set-MsolDomainAuthentication -DomainName $dom  -Authentication Federated -ActiveLogOnUri $uri -SigningCertificate $cert -PassiveLogOnUri $uri -IssuerUri $issuer_uri -LogOffUri $uri -PreferredAuthenticationProtocol SAMLP

Проверить привязку можно следующим образом:
Get-MsolDomainFederationSettings -DomainName domain.name

4.4. Отвязка Office 365 от Keycloak

Выполните следующий скрипт:
$dom="yourdomain.com"
Set-MsolDomainAuthentication -DomainName $dom -Authentication managed

Все готово, откройте office365.com и попробуйте войти в систему под учетной записью из AD.

ADFS 4.0 2FA

ОБРАТИТЕ ВНИМАНИЕ! При интеграции решения двухфакторной аутентификации Protectimus с ADFS пользователи, которых вы создаете в облачном сервисе или платформе Protectimus должны иметь логины вида [email protected]

1. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен иметь вид [email protected], где login — это имя пользователя в AD, а domain.com — ваш корпоративный домен. Например, если имя вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином [email protected]
  1. Добавьте токены или активируйте Портал самообслуживания пользователей.
  2. Назначите токены пользователям.
  3. Назначте токены с пользователями на ресурс.

2. Установите Protectimus ADFS

  1. Скачайте установщик Protectimus ADFS.

  2. Запустите инсталлятор от имени администратора.
Protectimus OWA two-factor authentication component installation - run the intaller as administrator  
  1. Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.
How to set up ADFS two-factor authentication with Protectimus - step 1  
  1. На данном этапе выберите Protectimus MFA ADFS и нажмите Next.
How to set up ADFS two-factor authentication with Protectimus - step 2  
  1. Укажите API URL, API Login, API Key, Resource ID:
  • API URL. При использовании сервиса используйте данный API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа.
  • API Login. Это адрес электронной почты, который был выбран при регистрации в сервисе.
  • API Key. Ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.
  • Resource ID. После создания ресурса вы попадете на страницу со списком доступных ресурсов, где увидите только что созданный ресурс. Кроме прочего, в таблице будет отображен ID ресурса.
How to set up ADFS two-factor authentication with Protectimus - step 3  
  1. Все готово к установке, нажмите кнопку Install. Во время установки будет перезапущена служба ADFS.
How to set up ADFS two-factor authentication with Protectimus - step 4  
  1. Когда установка будет завершена, нажмите Finish.
How to set up ADFS two-factor authentication with Protectimus - step 5

3. Настройте многофакторную аутентификацию в ADFS

  1. Запустите консоль управления AD FS: Server Manager -> Tools -> AD FS Management
ADFS multi-factor authentication settings configuration - Step 1  
  1. Перейдите к настройкам многофакторной аутентификации: Service -> Authentication methods -> Multi-Factor Authentication methods -> Edit
ADFS 4.0 two-factor authentication setup - step 1  
  1. Выберите Protectimus MFA.
ADFS 4.0 two-factor authentication setup - step 2  
  1. Перейдите к политикам контроля доступа (Access Control Policies).
ADFS 4.0 two-factor authentication setup - step 3  
  1. Добавьте политику контроля доступа (Access Control Policy)
ADFS 4.0 two-factor authentication setup - step 4  
  1. Выберите require multi-factor authentication и задайте дополнительные настройки: from specific networks, from specific groups и т.д.
ADFS 4.0 two-factor authentication setup - step 5  
  1. Перейдите в меню Relying Party Trust и выберите Relying Party Trust, куда вы хотите добавить Protectimus MFA.
ADFS 4.0 two-factor authentication setup - step 6  
  1. Выберите политику контроля доступа (Access Control Policy), которую Вы добавили на ранее на 5-м шаге.
ADFS 4.0 two-factor authentication setup - step 7  
  1. Установка Protectimus MFA для ADFS завершена. Подробнее о политиках контроля доступа (Access Control Policies) вы можете узнать здесь.

4. Проверьте корректность установки и настройки

  1. Для проверки необходимо перейти по адресу: https://adfs.yourdomain.com/adfs/ls/idpinitiatedsignon.aspx
ADFS 4.0 two-factor authentication setup - step 8  
  1. На втором этапе аутентификации введете Ваш одноразовый пароль.
ADFS 4.0 two-factor authentication setup - step 9  
  1. Если пользователь ADFS не входит в группу “Администраторы” возможно получение ошибки вида: ADFS 4.0 two-factor authentication setup - step 10   В этом случае выполните в консоли с правами “Администратора” команду:
    eventcreate /ID 1 /L APPLICATION /T INFORMATION  /SO "Protectimus MFA ADFS" /D "Init"