Служебные протоколы
Previous 

RADIUS-серверы и двухфакторная аутентификация

 Next

ФПСУ-IP поддерживает сетевой протокол RADIUS (Remote Authentication Dial In User Service), обеспечивает централизованную аутентификацию, авторизацию и аккаунтинг.Технические детали указаны в пункте «Спецификация реализации RADIUS на ФПСУ».

ФПСУ-IP использует протокол RADIUS для двухфакторной аутентификации ФПСУ-IP/Клиентов при удаленном доступе к защищенной сети. После прохождения аутентификации ФПСУ-IP/Клиенты авторизуются для доступа к определённым сетевым ресурсам.

Первым фактором аутентификации ФПСУ-IP/Клиента на ФПСУ-IP является PIN-код VPN-Key или VPN-профиля, который известен только пользователю VPN-Key или VPN-профиля.

Второй фактор является внешней проверкой подлинности пользователя ФПСУ-IP/Клиента, где задействуется внешний сервис удаленной аутентификации пользователей, RADIUS. При двухфакторной аутентификации в случае успешной аутентификации ФПСУ-IP запрашивает у пользователя подтверждение доступа вторым фактором. Вторым фактором на ФПСУ-IP служит пароль, доменный пароль или OTP-пароль. Настройки клиентов версии 1 на работу с RADIUS описаны в пункте «Настройка диапазона клиентов на работу с Radius», клиентов версии 2 - в пункте «Настройка клиентов PKI на работу с RADIUS».

OTP-пароль пользователь ФПСУ-IP/Клиента получает по дополнительному каналу связи. Таким каналом связи может быть персональное мобильное устройство, доступ к которому имеет только пользователь VPN-Key или VPN-профиля.

ФПСУ-IP становится транспортом пароля между ФПСУ-IP/Клиентом и внешним сервером RADIUS. ФПСУ-IP передает пароль по протоколу RADIUS на сервер и возвращает ответ с разрешением или запретом, в случае разрешения пользователь авторизуется в защищенной сети.

В случае с установленным доменным паролем RADIUS сервер отправляет данные авторизации контроллеру домена для проверки.

Доступ к окну настроек RADIUS-серверов на ФПСУ-IP предоставляется из меню «Сетевые сервисы» конфигурации ФПСУ-IP при выборе в подменю команды «RADIUS-серверы».

Для указания RADIUS-сервера необходимо в открывшемся окне нажать кнопку «Добавить».

Установите следующие настройки RADIUS сервера:

Имя – текстовое описание RADIUS сервера.

Основной/резервный адрес RADIUS сервера – в поле необходимо ввести IP-адрес сервера. RADIUS сервер разрешает или запрещает работу ФПСУ-IP/Клиента, в зависимости от полученных данных аутентификации, ФПСУ-IP получает аутентификационные данные и отправляет на RADIUS сервер.

Порт основного/резервного сервера – в поле указывается номер порта сервера, установлено значение по умолчанию порт 1812.

Пароль для аутентификации на сервере – ФПСУ-IP является RADIUS-клиентом и проходит аутентификацию на RADIUS-сервере с данным паролем. Требования к паролю определяются RADIUS-сервером.

В случае отсутствия ответа RADIUS сервера могут быть заданы Количество повторов и Задержка между повторами.

Аутентификация – RADIUS сервер проверяет подлинность учетных данных ФПСУ-IP/Клиентов.

Аккаунтинг – RADIUS сервер записывает информацию об использовании ресурсов ФПСУ-IP/Клиентов для аудита и мониторинга.

Авторизация – RADIUS сервер определяет права доступа ФПСУ-IP/Клиентов к определенным сетевым ресурсам.