Настройка двухфакторной аутентификации для Cisco AnyConnect VPN

В этом руководстве показано, как организовать двухфакторную аутентификацию в Cisco AnyConnect с помощью системы мультифакторной аутентификации Protectimus. Интеграция Cisco AnyConnect с системой двухфакторной аутентификации Protectimus возможна по протоколу RADIUS.

Настройка политик аутентификации в Cisco AnyConnect позволит отправлять запрос на аутентификацию по протоколу RADIUS, который будет принят и обработан компонентом Protectimus RADIUS Server. В свою очередь, Protectimus RADIUS Server, приняв запрос, обратится к серверу двухфакторной аутентификации Protectimus для проверки одноразового пароля от пользователя и возвратит ответ Cisco AnyConnect, опять же используя протокол RADIUS.

Ознакомьтесь со схемой настройки Cisco AnyConnect 2FA. В ней показано как работает двухфакторная аутентификация для Cisco AnyConnect при интеграции с Protectimus через RADIUS.

Для настройки двухфакторной аутентификации (2FA) для Cisco AnyConnect:

1. Установите и настройте компонент Protectimus RADIUS Server.
2. Зарегистрируйтесь в Облачном сервисе многофакторной аутентификации или разверните Локальную платформу MFA Protectimus, затем настройте базовые параметры.
3. Настройте политики аутентификации Cisco AnyConnect.

1. Зарегистрируйтесь и задайте базовые настройки

1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
2. Создайте ресурс.
3. Добавьте пользователей.
4. Добавьте токены или активируйте Портал самообслуживания пользователей.
5. Назначите токены пользователям.
6. Назначте токены с пользователями на ресурс.

2. Установите и настройте Protectimus RADIUS Server

Подробные инструкции по установке и настройке Protectimus RADIUS Server доступны в Руководстве по установке и настройке Protectimus RADIUS Server.

3. Настройте политики аутентификации Cisco AnyConnect

3.1. Добавьте RADIUS сервер в конфигурацию Cisco ASA:

• Подключитесь к Cisco ASA с помощью Cisco ASDM
• Откройте конфигурацию Configuration —> Remote Access VPN —> AAA/Local Users —> AAA Server Groups
• Нажмите AAA Server Groups —> Add (1, 2)
• Задайте имя сервера и параметры как указано на рисунке ниже (3)
• Нажмите OK (4)

3.2. Добавьте RADIUS сервер в группу серверов:

• Выберите группу серверов RADIUS Server Group, которую вы только что создали (1)
• Нажмите Add (2)
• Задайте параметры своего RADIUS сервера (3)
• Нажмите OK (4)

3.3. Создайте AnyConnect VPN соединение:

1. Откройте AnyConnect VPN Wizard. Нажмите Wizards —> VPN Wizards —> AnyConnect VPN Wizard как показано на рисунке ниже.

2. После этого нажмите Next как показано на рисунке ниже.

3. Укажите имя соединения и интерфейса: Connection Profile Name и VPN Access Interface (1). Затем нажмите Next (2).

4. Настройте VPN протоколы и добавьте сертификат как показано на рисунке ниже.

5. При необходимости вы можете сгенерировать и добавить самоподписанный сертификат, как показано на рисунке ниже. После этого нажмите OK —> OK —> Next.

6. Добавьте образ VPN клиента (файлы *.pkg).

7. Настройке методы аутентификации:

• В поле AAA Server Group выберите группу серверов RADIUS, которую вы создали вначале (1)
• При необходимости внесите изменения в имя или IP адрес сервера (2)
• Нажмите Next (3)

8. Конфигурация SAML:

• В поле AAA Server Group выберите группу серверов RADIUS, которую вы создали вначале (1)
• В поле SAML Server оставьте значение “None” (2)
• Нажмите Next (3)

9. Настройте пул IP адресов, которые будут выдаваться клиентам:

• Выберите создать новый — New (1)
• Укажите параметры IP пула: название (Name), начальный IP адрес (Starting IP Address), конечный IP адрес (Ending IP Address), и маску (Subnet Mask) (2, 3)
• После этого нажмите Next (4)

10. Укажите DNS сервер.

11. Настройте исключения из NAT:

• Отметьте галочкой Exempt VPN traffic from network address translation (1)
• Настройте исключения для Inside Interface (2)
• После этого нажмите Next (3)

12. Разрешите подключение по https, для этого отметьте галочкой Allow Web Launch (1). Затем нажмите Next.

13. Проверьте заданные настройки и нажмите Finish.

Интеграция двухфакторной аутентификации в Cisco AnyConnect завершена.

Если у вас есть вопросы, обратитесь в службу поддержки клиентов Protectimus.