Comments 6
Интересная схема, плюс в том что все делается на Tike. Минус анти-юзер френдли. С мобилки подключаться «для не айтишников» очень неудобно будет.
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
0
ИМХО как выше заметили лучше использовать radius. Решение сильное, но тот кто пойдет по этой инфраструктуре после вас будет рвать волосы на всех местах.
0
Человек не способный понять 25 строк конфига, вряд ли должен вообще совать ручки к сетевому оборудованию.
К тому же, радиус на 2FA настроить нисколько не проще. Там тоже есть где убиться без подготовки с тупой копипасты.
Да и отделтная дадача "поднять радиус" некоторыз ставит в тупик. Даже со встроенным в Windoa Server вариантом многие разобраться не способны.
Здесь же как раз решение "не плодить лишние сущности". Потому оно оказывается пригодным для сетей малого и среднего бизнеса.
0
Проблема ещё в том, что RADIUS клиент в Mikrotik умеет только MS-CHAPv2. Соответственно RADIUS должен или в себе хранить учётки или LDAP иметь NT-hash.
И вот если у вас линуксы, ldap построен не на MS AD, то получается, что всякие OTP не прикрутить. Из RADIUS в Mikrotik идёт неизменный NT-hash, в котором OTP не содержится.
Я вот хотел реализовать связку FreeIPA (с нативным OTP, оч удобно) + FreeRADIUS + Mikrotik (с L2TP/IPSec сервером на борту), но видимо придётся придумывать что-то другое.
И вот если у вас линуксы, ldap построен не на MS AD, то получается, что всякие OTP не прикрутить. Из RADIUS в Mikrotik идёт неизменный NT-hash, в котором OTP не содержится.
Я вот хотел реализовать связку FreeIPA (с нативным OTP, оч удобно) + FreeRADIUS + Mikrotik (с L2TP/IPSec сервером на борту), но видимо придётся придумывать что-то другое.
0
Спасибо. Использовал вашу статью как стартовую идею для настройки 2FA через telegram bot (в телеграм отправляется код, при клике на кнопку с кодом попадаешь в вайтлист)
0
Sign up to leave a comment.
Articles
Change theme settings
Двухфакторная аутентификация пользователей VPN посредством MikroTik и SMS