Автор: Anna Korobkyna

1. Как работает двухфакторная аутентификация для OpenVPN

1. Сначала пользователь вводит обычный пароль и логин (то, что он знает, хранит в памяти);
2. После этого пользователь вводит одноразовый пароль, который генерируется с помощью 2FA токена или приложения на телефоне (устроства, которым владеет пользователь).

2. Как настроить двухфакторную аутентификацию (2FA) в OpenVPN

Интеграция двухфакторной аутентификации Protectimus с OpenVPN возможна по протоколу RADIUS:

1. Установите и настройте компонент Protectimus RADIUS Server.
2. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
3. Настройте OpenVPN.

2.1. Установите и настройте Protectimus RADIUS Server

2.2. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.3. Настройте политики аутентификации на OpenVPN Server

Плагин Protectimus Roundcube 2FA позволяет настроить двухфакторную аутентификацию в веб-клиенте для работы с электронной почтой Roundcube всего за 15 минут.

После интеграции двухфакторной аутентификации в Roundcube, при входе в учетную запись пользователя в Roundcube будет запрашиваться сначала стандартный, а потом одноразовый пароль. Получить несанкционированный доступ к учетной записи Roundcube, защищенной двухфакторной аутентификации практически невозможно. Для этого необходимо узнать пароль пользователя и одновременно получить физический доступ к OTP токену или суметь перехватить одноразовый пароль, который действует только 30 секунд.

Подробнее о плагине двухфакторной аутентификации Protectimus Roundcube 2FA можно узнать здесь.

Ниже приведена подробная инструкция по настройке двухфакторной аутентификации в Roundcube с помощью Protectimus.

1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначьте токены пользователям.
6. Назначьте токены с пользователями на ресурс.

2. Скачайте и установите плагин Protectimus Roundcube 2FA

1. Скачайте плагин Protectimus Roundcube 2FA здесь.


2. Поместите файл protectimus_otp_authentication в папку plugins/ folder вашей установки Roundcube.


3. Активируйте плагин protectimus_otp_authentication в config/main.inc.php:

   $config['plugins'] = array('protectimus_otp_authentication');



4. Откройте и настройте plugins/protectimus_otp_authentication/config.inc.php
   
   Вам необходимо заполнить следующие параметры:
   
   
   • Укажите ваш логин в сервисе или платформе Protectimus (email, который вы указывали при регистрации).

     This is your login name

   
   
   • Укажите Ключ API. Он находится в профиле пользователя в сервисе Protectimus. Войдите в свой аккаунт в облачном сервисе Protectimus (service.protectimus.com) нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка. Скопируйте Ключ API.

     $config['protectimus_api_key']

   
   
   • Ничего не меняйте здесь, если используете облачный сервис Protectimus

     $config['protectimus_api_url'] = 'https://api.protectimus.com/';

   
   
   • Укажите ID ресурса, который вы создали в облачном сервисе или платформе Protectimus. После создания ресурса вы попадете на страницу со списком доступных ресурсов, где увидите только что созданный ресурс. Кроме прочего, в таблице будет отображен ID ресурса.

     $config['protectimus_resource_id']

ВАЖНО:
Если вы используете скин, отличный от стандартного, вам необходимо скопировать папку skins в Protectimus.

Например:

cp -a skins/default skins/elastic

Компонент Protectimus DSPA (Dynamic Strong Password Authentication) позволяет интегрировать решение двухфакторной аутентификации Protectimus напрямую с Microsoft Active Directory или любым другим хранилищем пользователей (AD/LDAP, базы данных).

После интеграции, динамические 2FA пароли будут запрашиваться на всех сервисах, подключенных к данному каталогу пользователей (например, при входе в Windows, ADFS и OWA).

Protectimus DSPA добавляет к статическим паролям приставку в виде 6 цифр — одноразовый пароль, который генерируется по алгоритму TOTP и постоянно меняется. Получается пароль вида: P@ssw0rd!459812. Где:

• P@ssw0rd! — постоянная часть,
• 459812 — одноразовый пароль.

Интервал смены одноразовых паролей задает администратор, он должен быть кратным 30 секундам.

Для конечного пользователя аутентификация будет выглядеть так: чтобы войти в свою учетную запись, пользователь вводит свой статический пароль и одноразовый код в одной строке. Для создания одноразовых паролей пользователям необходимо использовать приложение Protectimus SMART.

1. Установите On-Premise платформу Protectimus

1.1. Windows

1.2. Другая операционная система

2. Зарегистрируйтесь

3. Создайте поставщика пользователей

1. После запуска платформы и регистрации в системе Protectimus, войдите в свою учетную запись и во вкладке DSPA выберите Добавить службу > Добавить поставщика пользователей.

2. Заполните данные о службе каталогов.

ldaps://dc1.domain.local:636

keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit

DC=domain,DC=local

CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local

(memberOf=CN=DSPA Group, DC=domain, DC=local)

Для импорта пользователей из определенной группы

(mail=*)

для импорта только тех пользователей, у которых указан атрибут mail

3. После успешного добавления поставщика пользователей, необходимо синхронизировать пользователей со службой каталогов. Это можно сделать тремя способами:
 

• Нажать кнопку Синхронизировать сейчас.

• Использовать возможность синхронизации отдельных пользователей из каталога, для этого выберите Синхронизировать отдельных пользователей.

• Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.

4. Добавьте пароли пользователям

ОБРАТИТЕ ВНИМАНИЕ! Вы можете активировать портал самообслуживания пользователей, чтобы ваши пользователи могли сами указать свои пароли. О настройке портала самообслуживания читайте ниже.

1. Перейдите на страницу редактирования пользователя (нажмите на кнопку Пользователи в меню слева). После этого нажмите на Логин пользователя > Действия > Редактировать, чтобы перейти в меню редактирования пользователя.

2. Задайте пароль пользователя в соответствующем поле и нажмите Сохранить.

5. Добавьте токены

На данный момент компонент Protectimus DSPA совместим только с токенами-приложениями на iOS и Android Protectimus Smart OTP, поэтому рекомендуем активировать портал самообслуживания пользователей, чтобы ваши конечные пользователи могли самостоятельно выпустить токены. О настройке портала самообслуживания читайте ниже.

1. Выберите синхронизированного пользователя и нажмите Назначить токен, после — Новый.

2. Выберите токен Protectimus SMART и настройте его. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.

6. Активация и деактивация Protectimus DSPA

1. Чтобы активировать компонент Protectimus DSPA, перейдите во вкладку DSPA и активируйте чекбокс напротив параметра  Активность. Соответственно, чтобы деактивировать компонент Protectimus DSPA, необходимо снять галочку с параметра Активность.
   
   При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).

2. Для работы Protectimus DSPA необходимы:
   • Настроенный поставщик пользователей;
   • Синхронизированный пользователь;
   • Установленный у пользователя пароль;
   • Токен назначенный на пользователя.
   Проверить выполнения данных условий можно по нажатию на кнопку Пользователи на вкладке DSPA.

3. Результаты обновления паролей можно видеть в таблице ниже. При деактивации DSPA все пароли будут сброшены (т.е убрана динамическая часть).

4. Результат обновлений можно посмотреть по нажатию на иконку в таблице отчетов.

7. Настройка портала самообслуживания пользователей

8. Работа пользователей с порталом самообслуживания

8.1. Авторизация на портале самообслуживания

8.2. Создание токена Protectimus SMART OTP

1. Пользователю нужно выбрать пункт Регистрация и Назначение нового токена. После этого откроется список доступных к созданию типов токенов, нужно выбрать Protectimus SMART.

2. Пользователь должен выбрать токен Protectimus SMART, после чего откроется окно, в котором нужно ввести имя токена, задать длину одноразового пароля, выбрать время жизни одноразового пароля и нажать на кнопку Показать QR-код.
   
   Полученный QR код нужно просканировать с помощью приложения Protectimus Smart OTP, предварительно установив его на свой смартфон. Приложение Protectimus Smart OTP доступно бесплатно на Google Play и App Store.
   
   Далее для создания токена необходимо ввести OTP, сгенерированный при помощи приложения Protectimus SMART OTP.

8.3. Создание пароля

1. Пользователь должен перейти во вкладку Создание пароля.

2. После этого нужно ввести пароль такой же, как указан в службе каталогов.

Компонент Protectimus Winlogon & RDP 2FA для двухфакторной аутентификации в Windows защищает доступ к Windows как локально, так и через RDP.

Решение двухфакторной аутентификации Protectimus Winlogon & RDP позволяет защитить доступ к компьютерам под управлением слкдующих операционных систем:

• Windows 8;
• Windows 8.1;
• Windows 10;
• Windows 11;
• Windows Server 2012;
• Windows Server 2016;
• Windows Server 2019;
• Windows Server 2022.

Функция бэкап кодов позволяет пользователям Windows входить в свои учетные записи, защищенные двухфакторной аутентификацией, даже если компьютер не подключен с сети. При установке компонента Protectimus Winlogon на компьютер, администратор может выпустить и сохранить бэкап код, который заменит одноразовый пароль при входе в любую из учетных записей на этом компьютере в оффлайн режиме.

Вы можете узнать больше о нашем решении двухфакторной аутентификации для Windows и RDP здесь.

Ниже приведена подробная инструкция по настройке двухфакторной аутентификации в Windows с помощью Protectimus.

1. Зарегистрируйтесь и задайте базовые настройки

2. Создайте ресурс

3. Настройте политики доступа

1. Перейдите на страницу Ресурсы.

2. Нажмите на название ресурса.

3. Перейдите во вкладку Winlogon.

4. Вы увидите список политик доступа. Настройте решение в соответствии с вашими требованиями. Мы настоятельно рекомендуем вам активировать автоматическую регистрацию пользователей и токенов.
   
   После активации этой функции, при первом входе в учетную запись, пользователь должен будет ввести свой обычный Windows логин, пароль, а после этого выпустить токен.
   
   Чтобы активировать авторегистрацию пользователей и токенов, отметьте галочками следующие пункты:
   • Доступ незарегистрированным пользователям;
   • Авторегистрация пользователей;
   • Авторегистрация токенов;
   • Выберите тип токена, который сможет выпустить пользователь (Protectimus Mail, Protectimus SMS, или Protectimus SMART OTP).

ВНИМАНИЕ!
Вы можете задать разные настройки для локального доступа и для удаленного доступа по RDP.

1. Доступ (активируется по умолчанию)
   Открывает доступ к компьютеру. Если этот параметр деактивирован, доступ к компьютеру локально и/или по RDP будет полностью закрыт.
2. Применить 2FA (активируется по умолчанию) 
   Этот параметр активирует двухфакторную аутентификацию при входе в учетную запись Windows локально и/или по RDP. Если этот параметр деактивирован, одноразовый пароль запрашиваться не будет.
3. Доступ незарегистрированным пользователям
   • Этот параметр позволяет активировать двухфакторную аутентификацию только для выбранных пользователей. Например, одним компьютером пользуется 3 человека — John, Adam и Michael, но вы хотите, чтобы одноразовый пароль запрашивался только при входе в учетную запись Adam. Для этого в сервисе Protectimus необходимо создать только одного пользователя (Adam) и активировать параметр доступа незарегистрированным пользователям, чтобы остальные пользователи (John и Michael) входили без двухфакторной аутентификации.
   • Если этот параметр не активирован, войти в свои учетные записи смогут только пользователи, зарегистрированные в сервисе Protectimus.
   • Без активации этого параметра невозможна авторегистрация пользователей и токенов.
4. Однофакторный доступ
   Если этот параметр активирован, пользователи, назначенные на ресурс без токенов, могут входить в свои учетные записи без одноразовых паролей.
5. Авторегистрация пользователей
   Если этот параметр активирован, при своем первом входе в учетную запись пользователь пройдет автоматическую регистрацию в сервисе Protectimus и будет назначен на текущий ресурс.
6. Авторегистрация токенов
   Если этот параметр активирован, при первом входе в свою учетную запись пользователь должен будет выпустить токен. Тип токена, который будет доступен пользователю, необходимо выбрать в поле “Тип токена”.
7. Тип токена
   В этом поле необходимо выбрать тип токена, который будет доступен пользователю при авторегистрации.
8. Доступ по IP
   Если вы активируете этот параметр и добавить список разрешенных IP адресов ниже, то при входе  с доверенных IP адресов у пользователей не будет запрашиваться одноразовый пароль.
9. Разрешенные IP адреса
   Если вы активировали доступ по IP, добавьте список доверенных IP адресов при входе с которых не будет запрашиваться одноразовый пароль.

ОБРАТИТЕ ВНИМАНИЕ!

Чтобы использовать аппаратные OTP токены или доставку одноразовых паролей через чат-ботов в мессенджерах:

1. Добавьте пользователей вручную.
   
   ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен соответствовать имени пользователя в Windows. Перед созданием пользователя убедитесь, что Ваше имя пользователя Windows содержит только латиницу, цифры и следующие символы: _-∽!#.$.. Пробелы и любые другие символы не допускаются.
   
   Для защиты локальной учетной записи пользователя в Windows, пользователь в сервисе Protectimus должен иметь логин вида login, где login — это имя пользователя в Windows. Например, если имя Вашего пользователя в Windows John-Doe, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe
   
   Для учетных записей пользователей в Active Directory логин пользователя в сервисе должен иметь вид login@domain, где login — это имя пользователя в AD, а domain — Ваш корпоративный домен. Например, если имя Вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином John-Doe@google


2. Добавьте токены вручную.
3. Назначьте токены пользователям.
4. Назначите токены с пользователями на ресурс.

4. Установите Protectimus Winlogon

1. Скачайте инсталлятор Protectimus Winlogon здесь.
2. Запустите инсталлятор от имени администратора.

3.  Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.

4. Ознакомьтесь с лицензионным соглашением, выберите пункт I accept the license и нажмите Next, чтобы продолжить установку.

5.  Введите API URL, API Login, API Key и нажмите Login.Эти параметры означают:
   • API URL. При использовании сервиса используйте данный API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа.
   • Login. Это адрес электронной почты, который был выбран при регистрации в сервисе.
   • API Key. Ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.

6. Resource ID. Выберите Ресурс, который вы создали перед началом установки. Затем нажмите Next, чтобы продолжить установку.

Если вы еще не создали ресурс, добавьте его сейчас. Нажмите Add Resource и придумайте любое имя ресурса.

7. Задайте групповые настройки, если это необходимо. На этом этапе вы можете включить 2FA для главного администратора или для группы пользователей. По умолчанию двухфакторная аутентификация будет применена для всех учетных записей на этом компьютере, кроме главного администратора.

8. Если вы устанавливаете компонент Protectimus Winlogon & RDP 2FA на контроллере домена (DC), на этом этапе вы можете создать объект групповой политики (GPO) для автоматической установки программного обеспечения Protectimus на все машины в домене.
   
   GPO будет содержать скрипт для автоматической установки при запуске компьютера.
   
   В ввыпадающих меню вы можете выбрать компьютеры, на которые будет установлен компонент Protectimus с помощью объектов групповой политики (GPO). Принцип выбора компьютеров аналогичен тому, который используется при работе с группами на предыдущем этапе. Если флажок «Create GPO for install in domain» не выбран, выпадающие меню будут отключены.



ВНИМАНИЕ!

Если вы решите удалить компонент Protectimus Winlogon & RDP на контроллере домена, вам будет предложено создать объект групповой политики (GPO) для автоматического удаления этого программного обеспечения на всех других машинах в домене.

Если вы используете GPO для удаления Protectimus Winlogon на всех машинах в вашем домене, удалите этот объект групповой политики вручную после того, как удалите все ПО Protectimus на всех компьютерах.

Если вы не удалите этото объект групповой политики вручную, это может привести к конфликтам при повторной установке компонента Protectimus Winlogon & RDP.

9. Сохраните бэкап код в безопасном месте. Этот код нужен для входа в учетные записи Windows в офлайн режиме (при отсутствии подключения к интернету). Один и тот же бэкап код сработает для всех учетных записей на этом компьютере.

ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме.

10. Если это НЕ контроллер домена, просто нажмите Install.
    
    
    
    Если вы устанавливаете компонент двухфакторной аутентификации Protectimus Winlogon & RDP на контроллер домена, у вас будет три варианта. Выберите тот, который лучше всего вам подходит:
    • Install on current computer: При выборе этой опции компонент Protectimus устанавливается непосредственно на текущем компьютере. Например, если установка происходит на контроллере домена, и на экране «Install Policy» мы указали, что компонент не должен быть установлен на контроллере домена, то выбор этого флажка приведет к его установке на текущем компьютере, то есть на контроллере домена.
    • Run direct install: Эта опция открывает окно установки, позволяющее установить компонент непосредственно на любой компьютер в домене.
    • Protect installation from deletion: Включение этой опции обеспечивает защиту компонента от удаления на рабочих станциях, гарантируя, что его можно будет удалить только через авторизованные действия на контроллере домена, тем самым повышая уровень безопасности.

11. После завершения установки нажмите кнопку OK. При следующем запуске компьютера компонент уже будет активен.

5. Настройка доступа через RDP

ВНИМАНИЕ! Если Вы НЕ выполните следующие действия, доступ к компьютеру по RDP будет полностью запрещен.

1. Перейдите на страницу Ресурсы, нажмите на название ресурса и выберите вкладку Winlogon.
2. Активируйте параметр Доступ для RDP. Активация данного параметра открывает доступ к компьютеру по протоколу RDP без двухфакторной аутентификации.

3. Чтобы включить двухфакторную аутентификацию при запросе доступа по RDP, дополнительно активируйте параметр Применить 2FA при доступе через RDP.

6. Работа в офлайн режиме (бэкап коды)

ВНИМАНИЕ! При экстренном входе в систему с использованием бэкап кода, будет сгенерирован новый код, который необходимо сохранить и использовать при следующем входе в оффлайн режиме. Этот бэкап код также будет действовать для всех учетных записей на этом компьютере.

Перевыпуск бэкап кода

• Войдите в свою учетную запись Windows.
• Скачайте и запустите утилиту.
• Нажмите CTRL+ALT+DEL
• Сохраните ваш новый бэкап код.

7. Логи и ошибки

8. Удаление программы

Если у Вас нет доступа к учетной записи в Windows, удалить компонент Protectimus Winlogon можно через безопасный режим.

1. Войдите в меню установки и удаления программ в своей операционной системе, найдите программу Protectimus WinLogon и нажмите Удалить.
2. Подтвердите, что хотите удалить программу.
3. Вы увидите диалоговое окно, оповещающее вас об успешном удалении программы. Нажмите кнопку OK, чтобы завершить процесс.

ВНИМАНИЕ!

Если вы решите удалить компонент Protectimus Winlogon & RDP на контроллере домена, вам будет предложено создать объект групповой политики (GPO) для автоматического удаления этого программного обеспечения на всех других машинах в домене.

Если вы используете GPO для удаления Protectimus Winlogon на всех машинах в вашем домене, удалите этот объект групповой политики вручную после того, как удалите все ПО Protectimus на всех компьютерах.

Если вы не удалите этото объект групповой политики вручную, это может привести к конфликтам при повторной установке компонента Protectimus Winlogon & RDP.

1. Как работает двухфакторная аутентификация в Ubuntu

1. Первый — это стандартный пароль (тот, который пользователь хранит в памяти);
2. Второй — временный одноразовый код, действительный только в течение 30 или 60 секунд (этот код генерируется с помощью 2FA токена или 2FA приложения на телефоне пользователя — то есть на устройстве, которое пользователь носит с собой).

2. Как настраивается двухфакторная аутентификация в Ubuntu

Интеграция двухфакторной аутентификации Protectimus в Ubuntu возможна по протоколу RADIUS:

1. Установите и настройте компонент Protectimus RADIUS Server.
2. Зарегистрируйтесь в Облачном 2FA сервисе или установите Локальную 2FA платформу Protectimus и задайте базовые настройки.
3. Настройте Ubuntu.

2.1. Установите и настройте Protectimus RADIUS Server

2.2. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2.3. Настройте Ubuntu

# server[:port]    shared_secret      timeout (s)
127.0.0.1          secret             1

ВАЖНО! Вместо 127.0.0.1 укажите свой IP платформы

SSH

ChallengeResponseAuthentication yes

Local authentication + OTP via Protectimus

# Standard Un*x authentication.
@include common-auth

auth    required    pam_radius_auth.so

Authentication + OTP via Protectimus

# Standard Un*x authentication.
#@include common-auth

auth    required    pam_radius_auth.so

GUI

auth required pam_radius_auth.so

Чтобы настроить Citrix Gateway 2FA, выполните указанные ниже действия:

1. Установите и настройте компонент Protectimus RADIUS Server.
2. Зарегистрируйтесь в Облачном 2FA сервисе или установите Локальную MFA платформу Protectimus и задайте базовые настройки.
3. Настройте политики аутентификации Citrix.

1. Установите и настройте Protectimus RADIUS Server

2. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

3. Настройте политики аутентификации Citrix Gateway

1. Configure the LDAP policy

1. Переходим Citrix Gateway → Policies → Authentication → LDAP.
2. Выбираем вкладку Servers и добавляем новый сервер (add).
3. Настраиваем подключение к LDAP:
   • Указываем IP адрес сервера ActiveDirectory и его порт. По умолчанию используется порт 389.
     
     

     ВНИМАНИЕ! Для поддержки функции смены пароля при первом входе или при истечении его срока действия используется LDAPS порт 636. Также, для корректной работы этой функции нужно импортировать SSL сертификат.

   • Указываем полный путь к хранилищу пользователей:

     CN=Users,DC=protectimus,DC=office

    
   • Указываем полное имя администратора домена:

     CN=admin,CN=Users,DC=protectimus,DC=office

    
   • Нажимаем “BindDN Password” и указываем пароль администратора домена. Остальное оставляем как есть.

4. Переходим во вкладку Policies и добавляем созданный сервер.
 
5. Для Expression указываем ns_true.

2. Настройка второго фактора по протоколу RADIUS

1. Переходим NetScaler Gateway → Polices → Authetication → RADIUS Выбираем вкладку Servers.

2. Добавляем сервер.
3. Задаем настройки Radius-сервера для подключения к Protectimus RADIUS Server.
4. Указываем IP адрес машины, на которой запущен Protectimus RADIUS Server, указываем порт, как было задано в конфигурационном файле radius.yml.
5. Указываем SecretKey, такой же, как и в radius.yml.

6. Переходим во вкладку Policies, выбираем созданный сервер, в Expression указываем ns_true.

3. Настройка виртуального сервера

1. Переходим NetScaler Gateway → VirtualServers, выбираем Ваш сервер, во вкладке Authentication жмем “+”.

2. Выбираем Policy – LDAP Choose Type – Primary. Затем нажимаем Continue.

3. Нажимаем Add Binding и выбираем политику при помощи Select Policy. Выбираем LDAP policy.

4. Проделаем то же самое для RADIUS.

5. Выбираем Policy – RADIUS ChooseType – Secondary, выполняем дальнейшие шаги такие же, как и для политики LDAP.

Для настройки двухфакторной аутентификации (2FA) для Cisco AnyConnect:

1. Установите и настройте Protectimus RADIUS Server.
2. Зарегистрируйтесь в Облачном 2FA сервисе или установите Локальную 2FA платформу Protectimus и задайте базовые настройки.
3. Настройте политики аутентификации Cisco AnyConnect .

1. Установите и настройте Protectimus RADIUS Server

2. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

3. Настройте политики аутентификации Cisco AnyConnect

1. Добавьте RADIUS сервер в конфигурацию Cisco ASA:

• Подключитесь к Cisco ASA с помощью Cisco ASDM
• Откройте конфигурацию Configuration —> Remote Access VPN —> AAA/Local Users —> AAA Server Groups
• Нажмите AAA Server Groups —> Add (1, 2)
• Задайте имя сервера и параметры как указано на рисунке ниже (3)
• Нажмите OK (4)

2. Добавьте RADIUS сервер в группу серверов:

• Выберите группу серверов RADIUS Server Group, которую вы только что создали (1)
• Нажмите Add (2)
• Задайте параметры своего RADIUS сервера (3)
• Нажмите OK (4)

3. Создайте AnyConnect VPN соединение:

1. Откройте AnyConnect VPN Wizard. Нажмите Wizards —> VPN Wizards —> AnyConnect VPN Wizard как показано на рисунке ниже.

2. После этого нажмите Next как показано на рисунке ниже.

3. Укажите имя соединения и интерфейса: Connection Profile Name и VPN Access Interface (1). Затем нажмите Next (2).

4. Настройте VPN протоколы и добавьте сертификат как показано на рисунке ниже.

5. При необходимости вы можете сгенерировать и добавить самоподписанный сертификат, как показано на рисунке ниже. После этого нажмите OK —> OK —> Next.

6. Добавьте образ VPN клиента (файлы *.pkg).

7. Настройке методы аутентификации:

• В поле AAA Server Group выберите группу серверов RADIUS, которую вы создали вначале (1)
• При необходимости внесите изменения в имя или IP адрес сервера (2)
• Нажмите Next (3)

8. Конфигурация SAML:

• В поле AAA Server Group выберите группу серверов RADIUS, которую вы создали вначале (1)
• В поле SAML Server оставьте значение “None” (2)
• Нажмите Next (3)

9. Настройте пул IP адресов, которые будут выдаваться клиентам:

• Выберите создать новый — New (1)
• Укажите параметры IP пула: название (Name), начальный IP адрес (Starting IP Address), конечный  IP адрес (Ending IP Address), и маску (Subnet Mask) (2, 3)
• После этого нажмите Next (4)

10. Укажите DNS сервер.

11. Настройте исключения из NAT:

• Отметьте галочкой Exempt VPN traffic from network address translation (1)
• Настройте исключения для Inside Interface (2)
• После этого нажмите Next (3)

12. Разрешите подключение по https, для этого отметьте галочкой Allow Web Launch (1). Затем нажмите Next.

13. Проверьте заданные настройки и нажмите Finish.

Решение двухфакторной аутентификации Protectimus RADIUS 2FA подходит для защиты любого программного обеспечения или оборудования, которое поддерживает протокол аутентификации RADIUS.

Коннектор Protectimus RADIUS Server работает как RADIUS сервер. Он передает запросы аутентификации от устройства или ПО, ктоторое подключено к Protectimus RADIUS Server по протоколу RADIUS, на сервер многофакторной аутентификации (MFA) Protectimus и возвращает ответ с разрешением или запретом доступа.

Подключите двухфакторную аутентификацию (2FA/MFA) к VPN, Wi-Fi и любому другому программному обеспечению или девайсу, поддерживающему RADIUS аутуентификацию и защитите доступ к учетным записям пользователей от несанкционированного доступа. Двухфакторная аутентификация (2FA/MFA) — это мощное средство защиты от фишинга, подмены данных, кейлогеров, социальной инженерии и других подобных угроз.

Список программного обеспечения и устройств, которые можно интегрировать с Protectimus по протоколу аутентификации RADIUS, включает, но не ограничивается:

• Ubuntu;
• Cisco AnyConnect;
• Cisco Switches;
• Citrix ADC (NetScaler ADC), Citrix Gateway (NetScaler Gateway), Citrix Virtual Desktops (XenDesktop), Citrix Virtual Apps (XenApp);
• VMware Horizon View (VDI), VMware Horizon Cloud DaaS (VDI), VMware vCenter Server;
• OpenVPN;
• Array AG SSL VPN
• Aruba ClearPass
• Barracuda SSL VPN
• Forcepoint VPN
• Juniper VPN
• Pulse Connect Secure SSL VPN
• F5 BIG-IP APM VPN;
• Palo Alto Networks VPN;
• FortiGate VPN;
• Check Point Remote Access VPN;
• Windows VPN;
• MikroTik VPN;
• SonicWALL TZ, NSA, Aventail series;
• WatchGuard Mobile VPN
• Wi-Fi hotspots;
• macOS;
• Huawei SSL VPN;
• UserGate VPN, etc.

Программное обеспечение Protectimus RADIUS 2FA легко настроить и интегрировать с вашей системой. Но если у вас возникнут вопросы, наша команда всегда готова помочь с интеграцией двухфакторной аутентификации (2FA) по RADIUS даже в самую сложную инфраструктуру. Просто свяжитесь с нашей службой поддержки.

Чтобы интегрировать решение Protectimus 2FA с устройством или программным обеспечением, поддерживающим RADIUS, необходимо установить и настроить Protectimus RADIUS Server, а затем настроить политики аутентификации на устройстве или в приложении, которое вы хотите интегрировать с Protectimus (это устройство или приложение должно поддерживать протокол RADIUS):

1. Запрос на аутентификацию передается по протоколу RADIUS на Protectimus RADIUS Server;
2. Protectimus RADIUS Server принимает и обрабатывает этот запрос;
3. Далее Protectimus RADIUS Server обращается к серверу аутентификации Protectimus для проверки одноразового пароля от пользователя.

1. Установите Protectimus RADIUS Server

1.1. Установка Protectimus RADIUS Server из Docker-образа

1. Для установки Protectimus RADIUS Server необходимо скачать и установить docker, docker-compose:

• Docker: https://docs.docker.com/engine/install/
• Docker-compose: https://docs.docker.com/compose/install/

2. Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git

3. Перейти в каталог platform-linux/radius и запустить:

docker-compose up -d

4. За процессом разворачивания Protectimus RADIUS Server можно наблюдать используя команду:

docker-compose logs -f

5. После завершения процесса запуска, Protectimus RADIUS Server будет доступен по адресу: https://localhost:8443

1.2. Установка Protectimus RADIUS Server на Windows

1. Скачайте инсталлятор On-Premise платформы Protectimus здесь.
2. Запустите инсталлятор от имени администратора.
3. Выберите RProxy.
   
   

   ВНИМАНИЕ!
   Если вы планируете использовать локальную платформу Protectimus, выберите пункт Platform. Более детальная инструкция по установке On-Premise платформы Protectimus на Windows доступна здесь.
   
   Если вы планируете использовать облачный сервис Protectimus, снимите галочку с пункта Platform.

Если используете On-Premise платформу Protectimus	Если используете Облачный сервис Protectimus

4. На вашей машине должна быть установлена Java (JDK 8 или выше). Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.

5. Нажмите Next, чтобы продолжить установку.

6. Выберите папку для установки компонентов Protectimus и нажмите Install.

7. После успешной установки, вы увидите это сообщение.

2. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

3. Настройте Protectimus RADIUS Server

3.1. Настройки RADIUS

radius:
    secret: secret
    auth-port: 1812
	acct-port: 1813
    listen-address: 0.0.0.0
	dictionaries: 
    	- file:/.dat
    attributes:
		copy-state: 
			true
        defaults:
            Service-Type: NAS-Prompt-User
        for-users:
            john:
                Service-Type: Login-User
		ldap:
      		memberOf:
        		'[cn=admins,ou=groups,dc=test,dc=com]':
          		Service-Type: Administrative
      		uid:
        		john_wick:
          			Class: Pro
	conditional:
      '[ldapUser.attributes["uid"] == "john"]':
        Service-Type:
          - Login-User
      '[request.getAttributeValue("User-Name") == "john"]':
        Class:
          - RDP_HeadOffice_GP

secret:

auth-port:

listen-address:

dictionaries:

attributes:

copy-state:

defaults:

for-users:

ldap:

conditional:

3.2. Настройки PROTECTIMUS API (настройка подключения к сервису PROTECTIMUS)

protectimus-api:
    login: 
    api-key: 
    url: https://api.protectimus.com/
    resource-id:
    resource-name:

login:

api-key:

url:

resource-id:

resource-name:

3.3. Настройки LDAP

ldap:
    base: dc=test,dc=com
    urls:
      - ldap://127.0.0.1:389
    principal-attribute: userPrincipalName
    custom-filter: (memberof=cn=managers,ou=groups,dc=test,dc=com)

base:

urls:

principal-attribute:

custom-filter:

3.4 Настройка процесса аутентификации

auth:
    providers:
    re-enter-otp: true
    principal-normalization: true
	bypass-otp:
    	ldap-filter: (memberOf=cn=bypass-otp,ou=groups,dc=test,dc=com)
    	usernames:
      		- john
      		- luci
    inline-mode:
      enabled: false
      separator: ''

providers:

re-enter-otp:

principal-normalization:

bypass-otp:

inline-mode:

3.5. Настройка RADIUS_PROXY Authentication Provider

# Настройки для провайдера аутентификации RADIUS_PROXY
proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1

secret:

auth-port:

remote-address:

3.6. Пример конфигурационного файла radius.yml

radius:
  secret: secret
  auth-port: 1812

dictionaries: 
    - file:C:/Protectimus/dict.dat
  attributes:
    defaults:
      Service-Type: NAS-Prompt-User

auth:
  providers:
    # Could be:
    - LDAP
	- AD
    - PROTECTIMUS_PASSWORD
    - PROTECTIMUS_OTP
    - RADIUS_PROXY
	
# Configuration for RADIUS_PROXY auth provider
proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1
  
#Configuration for AD auth provider
ad:
  urls:
    - ldap://127.0.0.1:389
  domain: test.com

#Configuration for LDAP auth provider
ldap:
  urls:
    - ldap://localhost:389
  base: dc=test,dc=com
  username: [email protected]
  password: secret
  principal-attribute: sAMAccountName

#Configuration for PROTECTIMUS_PASSWORD/PROTECTIMUS_OTP auth providers
protectimus-api:
  login: [email protected]
  api-key: secret
  url: https://api.protectimus.com/
  resource-id: 1

В этом случае пароль будет проверяться через LDAP, а OTP — с помощью Protectimus MFA.

3.7. Пример Dictionary

VENDOR      12356   fortinet 

VENDORATTR  12356   Fortinet-Group-Name         1   string 
VENDORATTR  12356   Fortinet-Access-Profile     6   string

Решение двухфакторной аутентификации Protectimus поддерживает систему единого входа (SSO) инициированную поставщиком услуг — SP (Service Provider).

Это означает, что конечные пользователи будут входить в свои учетные записи непосредственно со страницы логина защищаемого ресурса. Когда конечный пользователь пытается войти в защищенный ресурс, запрос авторизации отправляется поставщику удостоверений Identity Provider (Protectimus). Как только Protectimus аутентифицирует личность пользователя, пользователь входит в свою учетную запись на защищенном ресурсе.

Схема взаимодействия On-Premise платформы Protectimus с Microsoft Office 365 через Keycloak представлена ниже.

1. Установите платформу Protectimus и задайте базовые настройки

1. Установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2. Синхронизируйте On-Premise AD с Azure AD

2.1. Откройте office.com

2.2. Скачайте и запустите Azure AD Connect

• Create new AD account
• Enterprise ADMIN username: domain\Administrator
• PASSWORD: пароль администратора Windows AD

3. Настройте Keycloak

3.1. Создайте Realm

3.2. Создайте User Federation

• Name: saml.persistent.name.id.for.urn:federation:MicrosoftOnline
• Mapper Type: user-attribute-ldap-mapper
• User Model Attribute: saml.persistent.name.id.for.urn:federation:MicrosoftOnline
• LDAP Attribute: objectGUID
• Read Only: ON
• Always Read Value from LDAP: ON
• Is Mandatory in LDAP: OFF
• Is Binary Attribute: OFF

3.3. Создайте Клиента

1. Для этого при создании необходимо импортировать этот файл:
   
   https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml



ВНИМАНИЕ! Важно чтобы имя файла было: «urn:federation:MicrosoftOnline»

2. Отредактируйте свойства клиента:
   • Client Signature Required – Disable
   • Signature Algorithm – “RSA_SHA1”
3. Создайте Mapper для клиента “Add builtin” -> X500 email
   • Mapper: Name: IDPEmail
   • Mapper Type: User Property
   • Property: email
   • SAML Attribute Name: IDPEmail
   В качестве username будет использоваться email пользователя в Active Directory.

4. Привяжите Office 365 к Keycloak

4.1. Получите сертификат SAML

4.2. Установите необходимое ПО

• Install-Module -Name AzureAD
• Install-Module MSOnline

4.3. Привяжите Office 365 к Keycloak

# get the public key certificate from keycloak
# https://kc.dev.protectimus.com/auth/realms/2608/protocol/saml/descriptor
# see X509Certificate
$cert="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"

$uri="https://kc.dev.protectimus.com/auth/realms/Office365/protocol/saml"
$issuer_uri="https://kc.dev.protectimus.com/auth/realms/Office365"
$dom="yourdomain.com"

$cred = Get-Credential
Connect-MsolService -Credential $cred

Set-MsolDomainAuthentication -DomainName $dom  -Authentication Federated -ActiveLogOnUri $uri -SigningCertificate $cert -PassiveLogOnUri $uri -IssuerUri $issuer_uri -LogOffUri $uri -PreferredAuthenticationProtocol SAMLP

Get-MsolDomainFederationSettings -DomainName domain.name

4.4. Отвязка Office 365 от Keycloak

$dom="yourdomain.com"
Set-MsolDomainAuthentication -DomainName $dom -Authentication managed

ОБРАТИТЕ ВНИМАНИЕ! При интеграции решения двухфакторной аутентификации Protectimus с ADFS пользователи, которых вы создаете в облачном сервисе или платформе Protectimus должны иметь логины вида [email protected]

1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
2. Создайте ресурс.
3. Добавьте пользователей.

ВНИМАНИЕ! Логин пользователя в сервисе Protectimus должен иметь вид [email protected], где login — это имя пользователя в AD, а domain.com — ваш корпоративный домен. Например, если имя вашего пользователя в AD John-Doe а корпоративный домен google.com, то в сервисе Protectimus необходимо добавить пользователя с логином [email protected]

4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2. Установите Protectimus ADFS

1. Скачайте установщик Protectimus ADFS.


2. Запустите инсталлятор от имени администратора.

3. Вы увидите экран приветствия. Нажмите кнопку Next, чтобы продолжить установку.

4. На данном этапе выберите Protectimus MFA ADFS и нажмите Next.

5. Укажите API URL, API Login, API Key, Resource ID:

• API URL. При использовании сервиса используйте данный API URL https://api.protectimus.com, при использовании платформы адрес для доступа к API будет адресом сервера, где запущена платформа.
• API Login. Это адрес электронной почты, который был выбран при регистрации в сервисе.
• API Key. Ключ API находится в профиле пользователя. Чтобы перейти в профиль пользователя нажмите на своем логине в правом верхнем углу интерфейса и выберите пункт Профиль из выпадающего списка.
• Resource ID. После создания ресурса вы попадете на страницу со списком доступных ресурсов, где увидите только что созданный ресурс. Кроме прочего, в таблице будет отображен ID ресурса.

6. Все готово к установке, нажмите кнопку Install. Во время установки будет перезапущена служба ADFS.

7. Когда установка будет завершена, нажмите Finish.

3. Настройте многофакторную аутентификацию в ADFS

1. Запустите консоль управления AD FS: Server Manager -> Tools -> AD FS Management

2. Перейдите к настройкам многофакторной аутентификации: Service -> Authentication methods -> Multi-Factor Authentication methods -> Edit

3. Выберите Protectimus MFA.

4. Перейдите к политикам контроля доступа (Access Control Policies).

5. Добавьте политику контроля доступа (Access Control Policy)

6. Выберите require multi-factor authentication и задайте дополнительные настройки: from specific networks, from specific groups и т.д.

7. Перейдите в меню Relying Party Trust и выберите Relying Party Trust, куда вы хотите добавить Protectimus MFA.

8. Выберите политику контроля доступа (Access Control Policy), которую Вы добавили на ранее на 5-м шаге.

9. Установка Protectimus MFA для ADFS завершена. Подробнее о политиках контроля доступа (Access Control Policies) вы можете узнать здесь.

4. Проверьте корректность установки и настройки

1. Для проверки необходимо перейти по адресу: https://adfs.yourdomain.com/adfs/ls/idpinitiatedsignon.aspx

2. На втором этапе аутентификации введете Ваш одноразовый пароль.

3. Если пользователь ADFS не входит в группу “Администраторы” возможно получение ошибки вида:   В этом случае выполните в консоли с правами “Администратора” команду:

   eventcreate /ID 1 /L APPLICATION /T INFORMATION  /SO "Protectimus MFA ADFS" /D "Init"