Pull to refresh

Comments 13

А почему не использовать google authenticator он же бесплатный
AD Azure имеет больше вариантов OTP аутентификации пользователя
Может быть подскажете как его интегрировать с Cisco?
Вы в каком виде хотели видеть интеграцию?
Я сейчас как раз занимаюсь настройкой аутентификации ASA+google authenticator, если успею завтра сделаю статью, если что ваши пожелания учту.
Примерно в таком же виде как и тут.
Постараюсь успеть. Рассматриваю вариант FreeRadius + Google Auth. Посмотрим, что получится. Aутентифицировать будем клиентов AnyConnect, как и здесь.
Круто! Я почитаю точно.
опубликовал статью «Двухфакторная аутентификация клиентов Cisco AnyConnect. FreeRadius и Google Authenticator Редактировать»
habrahabr.ru/post/271259
Было бы интересно всё же Cisco ACS вместо FreeRadius
На сколько мне известно CISCO ACS не умеет работать с Google Authenticator.
Может ламерский вопрос — а как ASA понимает что у нас пошла MFA? Настройке на ней вроде совсем не отличаются от обыкновенной авторизации через Radius. Или это какие-то команды с radius сервера идут?
Да все верно, запрос на ввод кода с токена клиенту отправляет MFA Server. ASA в свою очередь ретранслирует его. За данный функционал отвечает настройка “RSA Secure ID integration” в настройках профайла.
Заголовок спойлера

Вместо Windows Authentication можно перенаправлять запросы на старый RADIUS, если разрешить на нём PAP, SPAP в Constraints > Authentication Methods и убрать NAS IPv4 Address из Conditions в настройках сетевых политик.

Это может пригодиться, когда старый RADIUS отдаёт имя групповой политики ASA для их автоматического назначения.
Only those users with full accounts are able to leave comments. Log in, please.