Вхід Реєстрація

Інструкції

Компоненти інтеграції

RADIUS: Налаштування двофакторної автентифікації у вашій мережі

Рішення Protectimus RADIUS 2FA дозволяє налаштувати двофакторну автентифікацію для будь-якого програмного забезпечення чи обладнання, яке підтримує протокол RADIUS.

Конектор Protectimus RADIUS Server працює як RADIUS-сервер, передаючи запити на автентифікацію від RADIUS-пристроїв до сервера багатофакторної автентифікації (MFA) Protectimus та повертаючи відповідь із дозволом або відмовою в доступі.

Схема інтеграції Protectimus 2FA через RADIUS

Налаштуйте двофакторну автентифікацію (2FA/MFA) для захисту VPN, Wi-Fi та будь-якого іншого програмного забезпечення чи пристрою, що підтримує RADIUS. Для цього інтегруйтеся з хмарним сервісом багвтофактооної автентифікації чи локальною платформою MFA Protectimus через протокол RADIUS.

Список програмного забезпечення та пристроїв, які можна інтегрувати з Protectimus через протокол автентифікації RADIUS, включає, але не обмежується наступними:

Програмне забезпечення Protectimus RADIUS 2FA просте в налаштуванні. Але якщо у вас виникнуть питання, наша команда завжди готова допомогти вам з розгортанням двофакторної автентифікації RADIUS (2FA) навіть у найскладнішій інфраструктурі. Зв’яжіться з нашою службою підтримки.

Щоб інтегрувати 2FA-рішення Protectimus з вашим пристроєм або програмним забезпеченням, що підтримує RADIUS, вам потрібно встановити та налаштувати Protectimus RADIUS Server, а потім налаштувати політики автентифікації на пристрої або в додатку, який ви хочете захистити багатофакторною автентифікацією:
  1. Ви дозволяєте передачу запиту на автентифікацію через протокол RADIUS на Protectimus RADIUS Server;
  2. Компонент Protectimus RADIUS Server отримує та обробляє запит на автентифікацію;
  3. Потім Protectimus RADIUS Server зв’язується з сервером автентифікації Protectimus для перевірки одноразового пароля, введеного користувачем.

1. Встановіть Protectimus RADIUS Server, щоб налаштувати RADIUS 2FA

1.1. Як встановити Protectimus RADIUS Server за допомогою Docker-образу

  1. Щоб розпочати встановлення Protectimus RADIUS Server, перш за все, завантажте та встановіть docker і docker-compose:
  1. Потім клонуйте git-репозиторій: https://github.com/protectimus/platform-linux.git
  1. Перейдіть до каталогу platform-linux/radius і запустіть:
docker-compose up -d
  1. Ви можете відстежувати процес розгортання Protectimus RADIUS Server за допомогою команди:
docker-compose logs -f
  1. Після завершення процесу розгортання Protectimus RADIUS Server буде доступний за адресою: https://localhost:8443.

1.2. Як встановити Protectimus RADIUS Server на Windows

  1. Завантажте інсталятор Локальної платформи MFA Protectimus.
  2. Запустіть інсталятор від імені адміністратора.
  3. Поставте галочку біля опції Radius.

    УВАГА!
    Якщо ви плануєте використовувати локальну платформу Protectimus, встановіть галочку біля опції Platform.
    Якщо ви плануєте використовувати SAAS-сервіс Protectimus, зніміть галочку з Platform.

Якщо ви плануєте використовувати локальну платформу MFA Protectimus

Якщо ви плануєте використовувати хмарний сервіс MFA Protectimus
Як встановити Protectimus RProxy та Protectimus Platform Як встановити Protectimus RProxy - ви будете використовувати хмарний сервіс Protectimus
  1. На комп’ютері має бути встановлена Java (JDK 7 або новіша версія). Якщо її немає, вона буде встановлена автоматично. Натисніть Install.
Як встановити Protectimus RProxy - встановити Java
  1. Коли Java буде встановлено, натисніть Next.
Як встановити Protectimus RProxy - оновіть Java і натисніть Далі
  1. Виберіть папку для встановлення компонентів Protectimus і натисніть кнопку Install.
Як встановити Protectimus RProxy - виберіть папку
  1. Коли встановлення буде завершено, ви побачите таке повідомлення.
Як встановити Protectimus RProxy - установка пройшла успішно

2. Зареєструйтесь та налаштуйте основні параметри

  1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus.
  2. Додайте ресурс.
  3. Додайте користувачів.
  4. Додайте Токени або активуйте Портал самообслуговування користувачів.
  5. Призначте токени користувачам.
  6. Призначте токени з користувачами на ресурс.

3. Налаштуйте Protectimus RADIUS Server

Налаштування Protectimus RADIUS Server задаються у файлі radius.yml, який повинен бути розміщений в одній директорії з виконуваним файлом.

Властивості, які потрібно додати до файлу radius.yml, включають:

3.1. Налаштування процесу автентифікації 

auth:
	providers:
    	- LDAP
    	- PROTECTIMUS_OTP
	re-enter-otp: true
	principal-normalization: true
	bypass-otp:
    	ldap-filter: (memberOf=cn=bypass-otp,ou=groups,dc=test,dc=com)
    	usernames:
          	- john
          	- luci
	inline-mode:
    	enabled: false
       	separator: ''
       	attributes:
         	NAS-Identifier:
           	- home-nas
           	- work-nas
НАЗВА ВЛАСТИВОСТІ ЗНАЧЕННЯ ВЛАСТИВОСТІ 
providers:
 Можуть бути:
  • LDAP
  • AD
  • PROTECTIMUS_PASSWORD
  • PROTECTIMUS_OTP
  • RADIUS_PROXY
  • PROTECTIMUS_PUSH
  • LDAP: При автентифікації через LDAP провайдера виконується операція LDAP bind для перевірки облікових даних користувача. Система шукає DN користувача за вказаним фільтром, а потім намагається виконати bind, використовуючи наданий пароль, щоб підтвердити правильність даних.
  • AD: При автентифікації через AD провайдера виконується операція LDAP bind із використанням userPrincipalName. Повне ім’я користувача має формат, схожий на email (наприклад, user@example.com), де частина @example.com витягується з файлу конфігурації.
  • PROTECTIMUS_PASSWORD: Для перевірки першого фактора використовується пароль користувача, зареєстрований у сервісі або на платформі Protectimus.
  • PROTECTIMUS_OTP: Перевірка другого фактора відбуватиметься через сервіс або платформу Protectimus за допомогою одноразового пароля (OTP).
  • RADIUS_PROXY: Поточна конфігурація дозволяє використовувати цей сервер як проксі лише для першого фактора. Запити на другий фактор не будуть перенаправлені, тож, якщо потрібна двофакторна автентифікація, вкажіть у налаштуваннях провайдера PROTECTIMUS_OTP.
 
re-enter-otp:
 Якщо функцію re-enter-otp увімкнено, система не запитуватиме пароль після невдалої перевірки одноразового пароля. 
principal-normalization:
 Якщо увімкнено нормалізацію, доменна інформація не враховується, і всі варіанти логіну користувача, наприклад, “username”, “DOMAIN\username” та “username@domain.com”, розпізнаються як “username”. 
bypass-otp:
 Якщо увімкнено bypass-otp, OTP не запитується для вказаних користувачів. 
inline-mode:
 Режим Inline дозволяє використовувати 2FA, якщо Access-Challenge не підтримується.

Його можна активувати, встановивши ‘enabled: true’ або через відповідні атрибути запиту.

У цьому випадку пароль має бути у форматі ‘password,otp’, якщо використовується роздільник ‘,’.

3.2. Налаштування RADIUS 

radius:
  secret: secret
  clients:
	- name: vpn-client
  	secret: secret
  	ips:
    	- 10.0.0.0/24
  auth-port: 1812
  listen-address: 0.0.0.0
  dictionaries:
	- file:<some_path>/<some_name>.dat
  attributes:
	copy-state: true
	defaults:
  	Service-Type: NAS-Prompt-User
	for-users:
  	john:
    	Service-Type: Login-User
	ldap:
  	memberOf:
    	'[cn=admins,ou=groups,dc=test,dc=com]':
      	Service-Type: Administrative
  	uid:
    	john_wick:
      	Class: Pro
	conditional:
  	'[ldapUser.attributes["uid"] == "john"]':
    	Service-Type:
      	- Login-User
  	'[request.getAttributeValue("User-Name") == "john"]':
    	Class:
      	- RDP_HeadOffice_GP
  ip-attributes:
	- NAS-IP-Address
	- NAS-IPv6-Address
НАЗВА ВЛАСТИВОСТІ ЗНАЧЕННЯ ВЛАСТИВОСТІ 
secret:
 Секрет, який буде використовуватися вашим RADIUS-сервером. 
clients:
 Системи, які використовують унікальні секрети (ідентифікація клієнтів здійснюється за IP-адресою).
Кожен клієнт ОБОВ’ЯЗКОВО повинен мати унікальне ім’я.		 
auth-port:
 Порт, на якому буде запущено RADIUS-сервер. 
listen-address:
 IP-адреса, на якій сервер приймає запити. 
dictionaries:
 Розширення списку атрибутів для RADIUS. Приклад розширення словника можна знайти у розділі Приклад словника. 
attributes:
 Атрибути, що передаються у відповідь після успішної автентифікації. 
copy-state:
 Копіює кожен атрибут, що повертається, у відповідь. 
defaults:
 Атрибути для всіх користувачів. 
for-users:
 Атрибути для конкретних користувачів. 
ldap:
 Атрибути для конкретного користувача або групи користувачів в LDAP. 
conditional:
 Якщо увімкнено параметр conditional, він дозволяє вказати скрипт, який перевірятиме умову, за якої атрибут буде повернуто. 
ip-attributes:
 Атрибути, що повертають IP-адресу вхідного запиту, використовуючи заданий атрибут.

3.3. Налаштування PROTECTIMUS API (налаштування підключення до сервісу PROTECTIMUS)

Конфігурація для провайдера автентифікації PROTECTIMUS_PASSWORD/PROTECTIMUS_OTP.

protectimus-api:
	login:
	api-key:
	url: https://api.protectimus.com/
	resource-id:
НАЗВА ВЛАСТИВОСТІ ЗНАЧЕННЯ ВЛАСТИВОСТІ 
login:
 Ваш логін в системі PROTECTIMUS. 
api-key:
 Ваш ключ API в системі PROTECTIMUS. 
url:
 Якщо ви використовуєте хмарний сервіс PROTECTIMUS, вкажіть наступний API URL: https://api.protectimus.com/

Якщо ви використовуєте локальну платформу Protectimus, API URL буде приблизно таким: protectimus.api.url=http://127.0.0.1:8080/		 
resource-id:
 ID ресурсу, який ви створили в системі PROTECTIMUS.

3.4. Налаштування LDAP

Конфігурація для провайдера автентифікації LDAP.

ldap:
  base: dc=test,dc=com
  urls:
	- ldap://127.0.0.1:389
  username: admin@test.com
  password: secret
  principal-attribute: userPrincipalName
  custom-filter: (memberof=cn=managers,ou=groups,dc=test,dc=com)
НАЗВА ВЛАСТИВОСТІ ЗНАЧЕННЯ ВЛАСТИВОСТІ 
base:
 LDAP DN групи або організаційної одиниці, що містить усіх користувачів, яким дозволено входити в систему. 
urls:
 Ім’я хоста або IP-адреса вашого контролера домену. 
principal-attribute:
 Використовується для LDAP автентифікації за визначеним атрибутом.

Якщо ви хочете автентифікувати користувача за допомогою “sAMAccountName” замість “userPrincipalName”, вкажіть атрибути “query-attribute” та “principal-attribute” відповідно		 
custom-filter:
 Використовується для визначення, які користувачі мають право проходити автентифікацію.

3.5. Налаштування провайдера автентифікації RADIUS_PROXY

Конфігурація для провайдера автентифікації RADIUS_PROXY

proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1
НАЗВА ВЛАСТИВОСТІ ЗНАЧЕННЯ ВЛАСТИВОСТІ 
secret:
 Секрет, який буде використовуватися вашим сервером RADIUS_PROXY. 
auth-port:
 Порт, на якому буде запущено RADIUS-сервер. 
remote-address:
 IP-адреса сервера PROXY_RADIUS.

3.6. Налаштування провайдера автентифікації AD

Конфігурація для провайдера автентифікації AD.

ad:
  urls:
	- ldap://127.0.0.1:389
  domain: test.com

3.7. Приклад файлу radius.yml 

radius:
  secret: secret
  clients:
	- name: vpn-client
  	secret: secret
  	ips:
    	- 10.0.0.0/24
  auth-port: 1812
  listen-address: 0.0.0.0
  dictionaries:
	- file:/.dat
  attributes:
	copy-state: true
	defaults:
  	Service-Type: NAS-Prompt-User
	for-users:
  	john:
    	Service-Type: Login-User
	ldap:
  	memberOf:
    	'[cn=admins,ou=groups,dc=test,dc=com]':
      	Service-Type: Administrative
  	uid:
    	john_wick:
      	Class: Pro
	conditional:
  	'[ldapUser.attributes["uid"] == "john"]':
    	Service-Type:
      	- Login-User
  	'[request.getAttributeValue("User-Name") == "john"]':
    	Class:
      	- RDP_HeadOffice_GP
  ip-attributes:
	- NAS-IP-Address
	- NAS-IPv6-Address

auth:
  providers:
	- LDAP
	- AD
	- PROTECTIMUS_PASSWORD
	- PROTECTIMUS_OTP
	- RADIUS_PROXY
  bypass-otp:
	ldap-filter: (memberOf=cn=bypass-otp,ou=groups,dc=test,dc=com)
	usernames:
  	- john
  	- luci
	ips:
  	- 10.0.0.0/24
  	- 1::/64
  re-enter-otp: true
  principal-normalization: true
  inline-mode:
	enabled: false
	separator: ''

ldap:
  base: dc=test,dc=com
  urls:
	- ldap://127.0.0.1:389
  username:
  password:
  principal-attribute: userPrincipalName
  custom-filter: (memberof=cn=managers,ou=groups,dc=test,dc=com)

ad:
  urls:
	- ldap://127.0.0.1:389
  domain: test.com

protectimus-api:
  login: test@protectimus.com
  api-key: secret
  url: https://api.protectimus.com/
  resource-id: 1

proxy:
  secret: secret
  auth-port: 1812
  remote-address: 192.168.1.1

3.8. Приклад словника 

VENDOR  	12356   fortinet

VENDORATTR  12356   Fortinet-Group-Name     	1   string
VENDORATTR  12356   Fortinet-Access-Profile 	6   string

Тепер потрібно налаштувати ваш пристрій або ПО для роботи з Protectimus RADIUS Server через протокол RADIUS.

Якщо у вас є запитання, зверніться до нашої служби підтримки.

Protectimus Ltd

Carrick house, 49 Fitzwilliam Square,
Dublin D02 N578, Ireland

Ірландія: +353 19 014 565
США: +1 786 796 66 64

support@protectimus.com
sales@protectimus.com

© 2025 Protectimus Ltd
© 2025 Protectimus Ltd
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.
Table of Contents