Log in Sign Up

Инструкции

Компоненты интеграции

RADIUS: Внедрение двухфакторной аутентификации в вашей сети

Решение двухфакторной аутентификации Protectimus RADIUS 2FA подходит для защиты любого программного обеспечения или оборудования, которое поддерживает протокол аутентификации RADIUS.

Коннектор Protectimus RADIUS Server работает как RADIUS сервер. Он передает запросы аутентификации от устройства или ПО, ктоторое подключено к Protectimus RADIUS Server по протоколу RADIUS, на сервер многофакторной аутентификации (MFA) Protectimus и возвращает ответ с разрешением или запретом доступа.

Интеграция Protectimus 2FA через RADIUS - схема

Подключите двухфакторную аутентификацию (2FA/MFA) к VPN, Wi-Fi и любому другому программному обеспечению или девайсу, поддерживающему RADIUS аутентификацию и защитите доступ к учетным записям пользователей от несанкционированного доступа. Для этого выполните интеграцию с Облачным сервисом двухфакторной аутентификации или Локальной платформой MFA Protectimus через протокол аутентификации RADIUS.

Список программного обеспечения и устройств, которые можно интегрировать с Protectimus по протоколу аутентификации RADIUS, включает, но не ограничивается:

Программное обеспечение Protectimus RADIUS 2FA легко настроить и интегрировать с вашей системой. Но если у вас возникнут вопросы, наша команда всегда готова помочь с интеграцией двухфакторной аутентификации (2FA) по RADIUS даже в самую сложную инфраструктуру. Просто свяжитесь с нашей службой поддержки.

Чтобы интегрировать решение Protectimus 2FA с устройством или программным обеспечением, поддерживающим RADIUS, необходимо установить и настроить Protectimus RADIUS Server, а затем настроить политики аутентификации на устройстве или в приложении, которое вы хотите интегрировать с Protectimus:
  1. Вы разрешаете передачу запроса на аутентификацию через протокол RADIUS на Protectimus RADIUS Server;
  2. Protectimus RADIUS Server принимает и обрабатывает этот запрос;
  3. Далее Protectimus RADIUS Server обращается к серверу аутентификации Protectimus для проверки одноразового пароля от пользователя.

1. Установите Protectimus RADIUS Server

1.1. Установка Protectimus RADIUS Server из Docker-образа

  1. Для установки Protectimus RADIUS Server необходимо скачать и установить docker и docker-compose:
  1. Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git
  1. Перейти в каталог platform-linux/radius и запустить:
docker-compose up -d
  1. За процессом разворачивания Protectimus RADIUS Server можно наблюдать используя команду:
docker-compose logs -f
  1. После завершения процесса запуска, Protectimus RADIUS Server будет доступен по адресу: https://localhost:8443

1.2. Установка Protectimus RADIUS Server на Windows

  1. Скачайте инсталлятор Локальной платформы Protectimus на странице платформы.
  2. Запустите инсталлятор от имени администратора.
  3. Установите галочку в поле Radius.

    ВНИМАНИЕ!
    Если вы планируете использовать локальную платформу Protectimus, выберите пункт Platform.
    Если вы планируете использовать облачный сервис Protectimus, снимите галочку с пункта Platform.

Если вы планируете использовать
локальную платформу MFA Protectimus

Если вы планируете использовать
облачный сервис MFA Protectimus
Как установить Protectimus Radius Server и платформу Protectimus Как установить Protectimus Radius Server, если вы используете облачный сервис Protectimus
  1. На вашей машине должна быть установлена Java (JDK 8 или выше). Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.
Как установить Protectimus RADIUS Server - установка Java
  1. После установки Java нажмите Next.
Как установить Protectimus RADIUS Server - обновите Java и нажмите Next
  1. Выберите папку для установки компонентов Protectimus и нажмите Install.
Как установить Protectimus RADIUS Server - выберите папку для установки компонентов Protectimus
  1. После успешной установки, вы увидите это сообщение.
Как установить Protectimus RADIUS Server - после успешной установки, вы увидите это сообщение

2. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

3. Настройте Protectimus RADIUS Server

Конфигурирование Protectimus RADIUS Server выполняется путём задания настроек в файле radius.yml, который должен быть расположен в той же папке, что и запускаемый файл.

Задайте в файле radius.yml следующие значения:

3.1. Настройка процесса аутентификации

auth:
	providers:
    	- LDAP
    	- PROTECTIMUS_OTP
	re-enter-otp: true
	principal-normalization: true
	bypass-otp:
    	ldap-filter: (memberOf=cn=bypass-otp,ou=groups,dc=test,dc=com)
    	usernames:
          	- john
          	- luci
	inline-mode:
    	enabled: false
       	separator: ''
       	attributes:
         	NAS-Identifier:
           	- home-nas
           	- work-nas
НАЗВАНИЕ ПАРАМЕТРА ФУНКЦИЯ ПАРАМЕТРА 
providers:
 Могут быть:
  • LDAP
  • AD
  • PROTECTIMUS_PASSWORD
  • PROTECTIMUS_OTP
  • RADIUS_PROXY
  • PROTECTIMUS_PUSH
  • LDAP: При аутентификации через LDAP провайдера выполняется операция LDAP bind для проверки учетных данных пользователя. Система ищет DN пользователя по указанному фильтру, а затем пытается выполнить bind, используя предоставленный пароль, чтобы подтвердить правильность данных.
  • AD: При аутентификации через AD провайдера выполняется операция LDAP bind с использованием userPrincipalName. Полное имя пользователя имеет формат, похожий на email (например, user@example.com), в котором часть @example.com извлекается из файла конфигурации.
  • PROTECTIMUS_PASSWORD: Для проверки первого фактора используется пароль пользователя, зарегистрированный в сервисе или платформе Protectimus.
  • PROTECTIMUS_OTP: Проверка второго фактора будет происходить через сервис или платформу Protectimus с помощью одноразового пароля (OTP).
  • RADIUS_PROXY: Текущая конфигурация позволяет использовать этот сервер в качестве прокси только для первого фактора. Запросы на второй фактор не будут перенаправлены, поэтому, если требуется двухфакторная аутентификация, укажите в настройках провайдера PROTECTIMUS_OTP.
 
re-enter-otp:
 Когда параметр re-enter-otp активирован, статический пароль не запрашивается после неудачной проверки OTP-пароля. 
principal-normalization:
 Когда параметр normalization активирован, любая информация о домене удаляется из имени пользователя, то есть независимо от того, как указано имя пользователя «username», «DOMAIN \ username», или «username@domain.com», оно будет преобразовано в одно «username». 
bypass-otp:
 Когда опция bypass-otp включена, для указанных пользователей не требуется ввод одноразового пароля (OTP). 
inline-mode:
 Inline mode позволяет использовать 2FA в случае, когда Access-Challenge не поддерживается.

Inline mode можно активировать с помощью ‘enabled: true’ или через соответствующие атрибуты запроса.

В этом случае пароль должен быть в следующем формате ‘password,otp’, если используется разделитель: ‘,’.

3.2. Настройки RADIUS

radius:
  secret: secret
  clients:
	- name: vpn-client
  	secret: secret
  	ips:
    	- 10.0.0.0/24
  auth-port: 1812
  listen-address: 0.0.0.0
  dictionaries:
	- file:<some_path>/<some_name>.dat
  attributes:
	copy-state: true
	defaults:
  	Service-Type: NAS-Prompt-User
	for-users:
  	john:
    	Service-Type: Login-User
	ldap:
  	memberOf:
    	'[cn=admins,ou=groups,dc=test,dc=com]':
      	Service-Type: Administrative
  	uid:
    	john_wick:
      	Class: Pro
	conditional:
  	'[ldapUser.attributes["uid"] == "john"]':
    	Service-Type:
      	- Login-User
  	'[request.getAttributeValue("User-Name") == "john"]':
    	Class:
      	- RDP_HeadOffice_GP
  ip-attributes:
	- NAS-IP-Address
	- NAS-IPv6-Address
НАЗВАНИЕ ПАРАМЕТРА ФУНКЦИЯ ПАРАМЕТРА 
secret:
 Секрет, который будет использоваться вашим RADIUS сервером. 
clients:
 Клиенты, использующие уникальные секреты (идентификация клиентов осуществляется по IP-адресу).
Каждый клиент ОБЯЗАТЕЛЬНО должен иметь уникальное имя.		 
auth-port:
 Порт на котором будет запущен RADIUS сервер. 
listen-address:
 IP-адрес, к которому подключается сервер. 
dictionaries:
 Расширение списка атрибутов для протокола RADIUS. Пример подобного списка атрибутов представлен в разделе Пример Dictionary. 
attributes:
 Атрибуты, которые будут возвращаться при успешной аутентификации. 
copy-state:
 Копирует каждый возвращаемый атрибут в ответ. 
defaults:
 Aтрибуты для всех пользователей. 
for-users:
 Атрибуты для определенных пользователей. 
ldap:
 Атрибуты для конкретного пользователя или группы пользователей в LDAP. 
conditional:
 Когда параметр conditional активирован, вы можете указать скрипт, который будет проверять условия, при выполнении которых атрибут будет возвращаться. 
ip-attributes:
 Атрибуты, которые возвращают IP-адрес входящего запроса, используя указанный атрибут.

3.3. Настройки PROTECTIMUS API (настройка подключения к сервису PROTECTIMUS)

Конфигурация провайдера аутентификации PROTECTIMUS_PASSWORD/PROTECTIMUS_OTP.

protectimus-api:
	login:
	api-key:
	url: https://api.protectimus.com/
	resource-id:
НАЗВАНИЕ ПАРАМЕТРА ФУНКЦИЯ ПАРАМЕТРА 
login:
 Ваш логин в системе PROTECTIMUS. 
api-key:
 Ваш ключ API в системе PROTECTIMUS. 
url:
 Если Вы используете облачный сервис PROTECTIMUS, укажите следующий API URL: https://api.protectimus.com/

Если Вы используете on-premise платформу Protectimus, API URL будет выглядеть примерно так: protectimus.api.url=http://127.0.0.1:8080/		 
resource-id:
 ID ресурса, созданного вами в системе PROTECTIMUS.

3.4. Настройки LDAP

Конфигурация для провайдера аутентификации LDAP.

ldap:
  base: dc=test,dc=com
  urls:
	- ldap://127.0.0.1:389
  username: admin@test.com
  password: secret
  principal-attribute: userPrincipalName
  custom-filter: (memberof=cn=managers,ou=groups,dc=test,dc=com)
НАЗВАНИЕ ПАРАМЕТРА ФУНКЦИЯ ПАРАМЕТРА 
base:
 LDAP DN группы или подразделения, содержащего всех пользователей, которым вы хотите разрешить вход. 
urls:
 Имя хоста или IP-адрес вашего контроллера домена. 
principal-attribute:
 Используется для LDAP аутентификации по определенному атрибуту.

Если вы хотите аутентифицировать пользователя с помощью «sAMAccountName» вместо «userPrincipalName», укажите атрибуты «query-attribute» и «principal-attribute» соответственно.		 
custom-filter:
 Используется для определения, какие пользователи имеют право проходить аутентификацию.

3.5. Настройка RADIUS_PROXY Authentication Provider

Конфигурация для провайдера аутентификации RADIUS_PROXY

proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1
НАЗВАНИЕ ПАРАМЕТРА ФУНКЦИЯ ПАРАМЕТРА 
secret:
 Секрет, который будет использоваться сервером RADIUS_PROXY. 
auth-port:
 Порт на котором будет запущен RADIUS сервер. 
remote-address:
 IP-адрес сервера PROXY_RADIUS.

3.6. Настройка провайдера аутентификации AD

Конфигурация для провайдера аутентификации AD.

ad:
  urls:
	- ldap://127.0.0.1:389
  domain: test.com

3.7. Пример конфигурационного файла radius.yml

radius:
  secret: secret
  clients:
	- name: vpn-client
  	secret: secret
  	ips:
    	- 10.0.0.0/24
  auth-port: 1812
  listen-address: 0.0.0.0
  dictionaries:
	- file:/.dat
  attributes:
	copy-state: true
	defaults:
  	Service-Type: NAS-Prompt-User
	for-users:
  	john:
    	Service-Type: Login-User
	ldap:
  	memberOf:
    	'[cn=admins,ou=groups,dc=test,dc=com]':
      	Service-Type: Administrative
  	uid:
    	john_wick:
      	Class: Pro
	conditional:
  	'[ldapUser.attributes["uid"] == "john"]':
    	Service-Type:
      	- Login-User
  	'[request.getAttributeValue("User-Name") == "john"]':
    	Class:
      	- RDP_HeadOffice_GP
  ip-attributes:
	- NAS-IP-Address
	- NAS-IPv6-Address

auth:
  providers:
	- LDAP
	- AD
	- PROTECTIMUS_PASSWORD
	- PROTECTIMUS_OTP
	- RADIUS_PROXY
  bypass-otp:
	ldap-filter: (memberOf=cn=bypass-otp,ou=groups,dc=test,dc=com)
	usernames:
  	- john
  	- luci
	ips:
  	- 10.0.0.0/24
  	- 1::/64
  re-enter-otp: true
  principal-normalization: true
  inline-mode:
	enabled: false
	separator: ''

ldap:
  base: dc=test,dc=com
  urls:
	- ldap://127.0.0.1:389
  username:
  password:
  principal-attribute: userPrincipalName
  custom-filter: (memberof=cn=managers,ou=groups,dc=test,dc=com)

ad:
  urls:
	- ldap://127.0.0.1:389
  domain: test.com

protectimus-api:
  login: test@protectimus.com
  api-key: secret
  url: https://api.protectimus.com/
  resource-id: 1

proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1

3.8. Пример Dictionary

VENDOR  	12356   fortinet

VENDORATTR  12356   Fortinet-Group-Name     	1   string
VENDORATTR  12356   Fortinet-Access-Profile 	6   string

Теперь вам нужно настроить ваше устройство или приложение для связи с Protectimus RADIUS Server по протоколу RADIUS.

Если у вас есть другие вопросы, свяжитесь с нашей службой поддержки клиентов.

Protectimus Ltd

Carrick house, 49 Fitzwilliam Square,
Dublin D02 N578, Ireland

Ирландия: +353 19 014 565
США: +1 786 796 66 64

support@protectimus.com
sales@protectimus.com

© 2025 Protectimus Ltd
© 2025 Protectimus Ltd
Этот сайт зарегистрирован на wpml.org как сайт разработки. Переключитесь на рабочий сайт по ключу remove this banner.
Table of Contents