Comments 6
Интересная схема, плюс в том что все делается на Tike. Минус анти-юзер френдли. С мобилки подключаться «для не айтишников» очень неудобно будет.
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
Сам внедрял 2FA на Tike по следующей схеме:
1. Tik — VPN сервер
2. Коммерческий RADIUS (для проверки одноразовых кодов [SMS]) + сервер и NPS сервер Microsoft (для проверки по AD)
Схема подключения была следующая:
1. У пользователя была SMS-ка с одноразовым паролем. Она высылалась при первоначальном подключении или при не успешной попытке входа.
2. При авторизации в VPN пользователь указывал свой AD логин, а в поле пароль указывал <АD пароль><одноразовый код>
Минус моей схемы в том, что тут есть платные элементы — коммерческий RADIUS (100k руб. в год на 500 пользователей).
Как вариант развития можете посмотреть в сторону генерации одноразовых кодов с помощью Google Auth их тоже можно скрестить с Tikом
ИМХО как выше заметили лучше использовать radius. Решение сильное, но тот кто пойдет по этой инфраструктуре после вас будет рвать волосы на всех местах.
Человек не способный понять 25 строк конфига, вряд ли должен вообще совать ручки к сетевому оборудованию.
К тому же, радиус на 2FA настроить нисколько не проще. Там тоже есть где убиться без подготовки с тупой копипасты.
Да и отделтная дадача "поднять радиус" некоторыз ставит в тупик. Даже со встроенным в Windoa Server вариантом многие разобраться не способны.
Здесь же как раз решение "не плодить лишние сущности". Потому оно оказывается пригодным для сетей малого и среднего бизнеса.
Проблема ещё в том, что RADIUS клиент в Mikrotik умеет только MS-CHAPv2. Соответственно RADIUS должен или в себе хранить учётки или LDAP иметь NT-hash.
И вот если у вас линуксы, ldap построен не на MS AD, то получается, что всякие OTP не прикрутить. Из RADIUS в Mikrotik идёт неизменный NT-hash, в котором OTP не содержится.
Я вот хотел реализовать связку FreeIPA (с нативным OTP, оч удобно) + FreeRADIUS + Mikrotik (с L2TP/IPSec сервером на борту), но видимо придётся придумывать что-то другое.
И вот если у вас линуксы, ldap построен не на MS AD, то получается, что всякие OTP не прикрутить. Из RADIUS в Mikrotik идёт неизменный NT-hash, в котором OTP не содержится.
Я вот хотел реализовать связку FreeIPA (с нативным OTP, оч удобно) + FreeRADIUS + Mikrotik (с L2TP/IPSec сервером на борту), но видимо придётся придумывать что-то другое.
Спасибо. Использовал вашу статью как стартовую идею для настройки 2FA через telegram bot (в телеграм отправляется код, при клике на кнопку с кодом попадаешь в вайтлист)
Sign up to leave a comment.
Двухфакторная аутентификация пользователей VPN посредством MikroTik и SMS