Налаштування двофакторної автентифікації (2FA) для Pulse Connect Secure SSL VPN
У цій інструкції показано, як налаштувати
двофакторну автентифікацію (2FA/MFA) для входу в
Pulse Connect Secure SSL VPN за допомогою рішення Protectimus.
Система двофакторної автентифікації Protectimus інтегрується з Pulse Connect Secure SSL VPN через протокол автентифікації RADIUS.
У цьому випадку хмарний сервіс 2FA або локальна платформа 2FA Protectimus працює як RADIUS-сервер, а Pulse Connect Secure SSL VPN виступає в ролі RADIUS-клієнта.
Нижче представлена схема роботи рішення Protectimus для двофакторної автентифікації в Pulse Connect Secure SSL VPN.
1. Як працює 2FA для Pulse Connect Secure SSL VPN
Двофакторна автентифікація (2FA/MFA) захищає облікові записи користувачів Pulse Connect Secure SSL VPN від фішингу, перебору паролів, кейлогерів, атак «людина посередині», підміни даних, соціальної інженерії та інших хакерських методів.
Коли ви налаштуєте 2FA/MFA для Pulse Connect Secure SSL VPN, користувачі Pulse Secure VPN використовуватимуть два різні фактори автентифікації для доступу до своїх облікових записів.
- Перший фактор — це логін та пароль (щось, що знає користувач);
- Другий фактор — це одноразовий пароль, згенерований за допомогою апаратного OTP-токена або 2FA-додатку (чогось, що належить користувачу).
Щоб зламати обліковий запис користувача Pulse Connect Secure SSL VPN, захищений двофакторною автентифікацією, хакеру потрібно одночасно отримати обидва паролі. Крім того, хакер має лише 30 секунд, щоб зламати та використати одноразовий пароль, що базується на часі. Виконати ці умови майже неможливо, що робить двофакторну автентифікацію настільки ефективною.
2. Як увімкнути 2FA для Pulse Connect Secure SSL VPN
Ви можете налаштувати двофакторну автентифікацію (2FA) для Pulse Connect Secure SSL VPN за допомогою Protectimus через протокол RADIUS:
- Зареєструйтесь у SAAS сервісі Protectimus або встановіть локальну платформу Protectimus та налаштуйте основні параметри.
- Встановіть та налаштуйте Protectimus RADIUS Server.
- Налаштуйте політики автентифікації для Pulse Connect Secure SSL VPN.
2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus
Виберіть варіант розгортання та виконайте базове налаштування:
Хмарний сервіс Protectimus
- Зареєструйтеся в хмарному сервісі Protectimus та активуйте API.
- Додайте ресурс.
- Додайте користувачів.
- Додайте токени вручну
або активуйте
Портал самообслуговування користувачів.
- Призначте токени користувачам.
- Призначте токени з користувачами на ресурс.
Локальна платформа Protectimus
- Встановіть локальну платформу Protectimus. Якщо ви встановлюєте платформу Protectimus на Windows, не забудьте вибрати опцію RADIUS під час встановлення.
- Додайте ресурс.
- Додайте користувачів.
- Додайте токени вручну
або активуйте
Портал самообслуговування користувачів.
- Призначте токени користувачам.
- Призначте токени з користувачами на ресурс.
2.2. Встановіть та налаштуйте Protectimus RADIUS Server
Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому
Посібнику з налаштування Protectimus RADIUS Server для Pulse Connect Secure SSL VPN 2FA.
2.3. Додайте Protectimus як RADIUS-сервер для Pulse Connect Secure SSL VPN
- Увійдіть в адміністративну панель Pulse Secure.
- Перейдіть до Authentication –> Auth. Servers .
- Виберіть RADIUS Server у випадаючому списку та натисніть New Server….
- Заповніть обов’язкові поля на вкладці Settings. Для цього скористайтеся таблицею та зображенням нижче.
| Name |
Придумайте назву для вашого RADIUS-сервера, наприклад, Protectimus Server. |
| RADIUS Server |
Введіть IP-адресу сервера, на якому встановлено компонент Protectimus RADIUS Server. |
| Authentication Port |
Вкажіть порт 1812 (або інший порт, який ви задали у файлі radius.yml під час налаштування Protectimus RADIUS Server). |
| Shared Secret |
Вкажіть секрет ний ключ, який ви створили у файлі radius.yml (параметр radius.secret) під час налаштування Protectimus RADIUS Server. |
| Timeout |
Встановіть значення 180 секунд. |
| Retries |
Встановіть значення 3. |
- Залиште значення за замовчуванням для всіх інших полів і натисніть Save Changes.
- Перейдіть до Users –> User Realms –> New User Realm….
- Придумайте назву для вашого нового домену, наприклад, Protectimus Server.
- Виберіть раніше створений сервер автентифікації (Protectimus Server) у випадаючому списку Authentication.
- Натисніть на Save Changes.
- Перейдіть до Authentication Policy –> Password.
- Виберіть Allow all users (passwords of any length) та натисніть Save Changes.
- Перейдіть на вкладку Role Mapping та натисніть New Rule….
- Придумайте назву для нового правила, наприклад, Protectimus Rule.
- Встановіть значення в полі Rule:If username… на is *.
- Призначте роль Users. Виберіть Users у списку Available Roles і натисніть Add –>.
- Натисніть на Save Changes.
- Перейдіть до Authentication –> Signing In –> Sign-in Policies.
- Натисніть на URL */ у таблиці User URLs.
- Виберіть User picks from a list of authentication realms та оберіть домен Protectimus Server, який ви створили раніше. Для цього виберіть Protectimus Server у списку Available realms і натисніть Add –>.
- Натисніть на Save Changes.

Інтеграція багатофакторної автентифікації для Pulse Connect Secure SSL VPN завершена.
Якщо у вас є запитання, зверніться до
служби підтримки клієнтів Protectimus.