Служебные протоколы
Previous 

RADIUS-серверы и двухфакторная аутентификация

 Next

ФПСУ как клиент поддерживает сетевой протокол RADIUS (Remote Authentication Dial In User Service), для обеспечения возможности централизованных аутентификации, авторизации и аккаунтинга.Технические детали реализации RADIUS-клиента на ФПСУ приводятся в пункте «Спецификация реализации RADIUS на ФПСУ».

ФПСУ поддерживет протокол RADIUS для реализации двухфакторной аутентификации ФПСУ-IP/Клиентов при удаленном доступе к защищенной сети. После прохождения аутентификации ФПСУ-IP/Клиенты авторизуются для доступа к определённым сетевым ресурсам.

Первым фактором аутентификации ФПСУ-IP/Клиента на ФПСУ является PIN-код VPN-Key или VPN-профиля, который известен только пользователю VPN-Key или VPN-профиля.

Вторым фактором является внешняя проверка подлинности пользователя ФПСУ-IP/Клиента, где задействуется внешний сервис удаленной аутентификации пользователей, RADIUS-сервер. При двухфакторной аутентификации в случае успешной аутентификации ФПСУ запрашивает у пользователя подтверждение доступа вторым фактором. Вторым фактором на ФПСУ служит пароль, доменный пароль или OTP-пароль. Настройки клиентов на работу с RADIUS описаны в пункте «Настройка диапазона клиентов на работу с Radius».

OTP-пароль пользователь ФПСУ-IP/Клиента получает по дополнительному каналу связи. Таким каналом связи может быть персональное мобильное устройство, доступ к которому имеет только пользователь VPN-Key или VPN-профиля.

ФПСУ становится транспортом пароля между ФПСУ-IP/Клиентом и внешним сервером RADIUS. ФПСУ передает пароль по протоколу RADIUS на сервер и возвращает ответ с разрешением или запретом, в случае разрешения пользователь авторизуется в защищенной сети.

В случае с установленным доменным паролем RADIUS сервер отправляет данные авторизации контроллеру домена для проверки.

Доступ к окну настроек RADIUS-серверов на ФПСУ предоставляется из меню «Сетевые сервисы» конфигурации ФПСУ при выборе в подменю команды «RADIUS-серверы».

Для указания RADIUS-сервера необходимо в открывшемся окне нажать кнопку «Добавить».

Установите следующие настройки RADIUS сервера:

Имя – текстовое произвольное описание RADIUS сервера.

Основной/резервный адрес RADIUS сервера – в поле необходимо ввести IP-адрес сервера. RADIUS сервер разрешает или запрещает работу ФПСУ-IP/Клиента, в зависимости от полученных данных аутентификации, ФПСУ получает аутентификационные данные и отправляет на RADIUS сервер.

Порт основного/резервного сервера – в поле указывается номер порта сервера, установлено значение по умолчанию порт 1812.

Пароль для аутентификации на сервере – ФПСУ является RADIUS-клиентом и проходит аутентификацию на RADIUS-сервере с данным паролем. Требования к паролю определяются RADIUS-сервером. Аутентификация ФПСУ на RADIUS-сервере выполняется по протоколу PAP.

В случае отсутствия ответа RADIUS сервера могут быть заданы Количество повторов и Задержка между повторами.

Аутентификация – RADIUS сервер проверяет подлинность учетных данных ФПСУ-IP/Клиентов.

Аккаунтинг – RADIUS сервер записывает информацию об использовании ресурсов ФПСУ-IP/Клиентов для аудита и мониторинга.

Авторизация – RADIUS сервер определяет права доступа ФПСУ-IP/Клиентов к определенным сетевым ресурсам.