Cisco AnyConnect підтримує двофакторну автентифікацію (2FA), яку можна налаштувати через систему Protectimus з використанням протоколу RADIUS.
Налаштування політик автентифікації в Cisco AnyConnect дозволяє передавати запит на автентифікацію через протокол RADIUS до Protectimus RADIUS Server. Після отримання запиту Protectimus RADIUS Server перевіряє одноразовий пароль користувача, звернувшись до сервера автентифікації Protectimus, і повертає результат через RADIUS до Cisco AnyConnect.
Перегляньте схему налаштування двофакторної автентифікації в Cisco AnyConnect, яка демонструє, як працює Cisco AnyConnect 2FA через протокол RADIUS.
Для того щоб увімкнути двофакторну автентифікацію (2FA) для Cisco AnyConnect:
- Встановіть та налаштуйте Protectimus RADIUS Server.
- Зареєструйтеся в SAAS сервісі багатофакторної автентифікації або розгорніть On-Premise платформу MFA Protectimus, а потім налаштуйте базові параметри.
- Налаштуйте політики автентифікації Cisco AnyConnect.
1. Зареєструйтеся та налаштуйте основні параметри
- Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
- Додайте ресурс.
- Додайте користувачів.
- Додайте Токени або активуйте Портал самообслуговування користувачів.
- Призначте токени користувачам.
- Призначте токени з користувачами на ресурс.
2. Встановіть та налаштуйте Protectimus RADIUS Server
Докладні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з налаштування Protectimus RADIUS Server для Cisco AnyConnect 2FA.
3. Налаштуйте політики автентифікації для Cisco AnyConnect 2FA
3.1. Додайте групу RADIUS серверів до конфігурації Cisco ASA:
- Підключіться до Cisco ASA за допомогою Cisco ASDM
- Відкрийте Configuration —> Remote Access VPN —> AAA/Local Users —> AAA Server Groups
- Натисніть AAA Server Groups —> Add (1, 2)
- Задайте назву та параметри, як показано на малюнку нижче (3)
- Натисніть OK (4)
3.2. Додайте RADIUS сервер до групи серверів:
- Виберіть групу RADIUS серверів, яку ви щойно створили (1)
- Натисніть Add (2)
- Налаштуйте параметри вашого RADIUS сервера (3)
- Натисніть OK (4)
3.3. Налаштуйте з’єднання для AnyConnect VPN:
- Відкрийте майстер налаштування AnyConnect VPN
Перейдіть до Wizards —> VPN Wizards —> AnyConnect VPN Wizard, як показано на малюнку.
- Потім натисніть Next, як показано на малюнку нижче.
- Вкажіть Connection Profile Name та VPN Access Interface (1).
Потім натисніть Next (2).
- Налаштуйте VPN-протоколи та додайте сертифікат, як показано на рисунках нижче.
- Ви можете згенерувати та додати самопідписаний сертифікат, якщо це необхідно, як показано на рисунку нижче. Після цього натисніть OK —> OK —> Next.
- Додайте образ клієнта VPN (*.pkg файли).
- Налаштуйте методи автентифікації:
- Виберіть створену вами групу RADIUS серверів як AAA Server Group (1)
- За необхідності змініть назву сервера або його IP-адресу (2)
- Натисніть Next (3)
- Налаштуйте SAML:
- Виберіть створену вами групу RADIUS серверів як AAA Server Group (1)
- Залиште “None” у полі SAML Server (2)
- І натисніть Next (3)
- Налаштуйте пул IP-адрес, які будуть призначені клієнтам:
- Choose New (1)
- Вкажіть параметри пулу IP-адрес: Name, Starting IP Address, Ending IP Address, та Subnet Mask (2, 3)
- І натисніть Next (4)
- Вкажіть сервер DNS
- Налаштуйте виключення NAT:
- Позначте поле Exempt VPN traffic from network address translation (1)
- Налаштуйте винятки для Inside Interface (2).
- І натисніть Next (3)
- Дозвольте з’єднання через https, для цього поставте галочку біля Allow Web Launch (1).
Потім натисніть Next.
- Перевірте вказані налаштування та натисніть Finish.
Інтеграція двофакторної автентифікації в Cisco AnyConnect завершена.
Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.
