Двухфакторная аутентификация клиентов AnyConnect. Active Directory и Azure Multi-Factor Authentication Server

[zoommy]

А почему не использовать google authenticator он же бесплатный

[MazayZaycev]

AD Azure имеет больше вариантов OTP аутентификации пользователя

[talifan]

Может быть подскажете как его интегрировать с Cisco?

[MazayZaycev]

Вы в каком виде хотели видеть интеграцию?
Я сейчас как раз занимаюсь настройкой аутентификации ASA+google authenticator, если успею завтра сделаю статью, если что ваши пожелания учту.

[talifan]

Примерно в таком же виде как и тут.

[MazayZaycev]

Постараюсь успеть. Рассматриваю вариант FreeRadius + Google Auth. Посмотрим, что получится. Aутентифицировать будем клиентов AnyConnect, как и здесь.

[talifan]

Круто! Я почитаю точно.

[MazayZaycev]

опубликовал статью «Двухфакторная аутентификация клиентов Cisco AnyConnect. FreeRadius и Google Authenticator Редактировать»
habrahabr.ru/post/271259

[vanyas]

Было бы интересно всё же Cisco ACS вместо FreeRadius

[MazayZaycev]

На сколько мне известно CISCO ACS не умеет работать с Google Authenticator.

[DonAlPAtino]

Может ламерский вопрос — а как ASA понимает что у нас пошла MFA? Настройке на ней вроде совсем не отличаются от обыкновенной авторизации через Radius. Или это какие-то команды с radius сервера идут?

[MazayZaycev]

Да все верно, запрос на ввод кода с токена клиенту отправляет MFA Server. ASA в свою очередь ретранслирует его. За данный функционал отвечает настройка “RSA Secure ID integration” в настройках профайла.

Заголовок спойлера

[navion]

Вместо Windows Authentication можно перенаправлять запросы на старый RADIUS, если разрешить на нём PAP, SPAP в Constraints > Authentication Methods и убрать NAS IPv4 Address из Conditions в настройках сетевых политик.

Это может пригодиться, когда старый RADIUS отдаёт имя групповой политики ASA для их автоматического назначения.