В корпоративных сетях RADIUS — один из самых распространённых протоколов аутентификации доступа к VPN, Wi-Fi, сетевому оборудованию и терминальным серверам. Но интеграция с 2FA и каталогами пользователей до сих пор часто остаётся самодельной для каждого отдельного админа: костыли, скрипты, нестандартизированные схемы.
Поэтому в MULTIFACTOR мы переработали собственный Radius Adapter и недавно выпустили версию V2 — с кросс-платформенностью, поддержкой нескольких LDAP-источников и переработанной логикой второго фактора. В этом разборе рассказываем, как всё работает и что изменилось в обновлении.
Зачем вообще нужен Radius Adapter
RADIUS остаётся стандартом де-факто, но сам протокол не умеет работать со вторым фактором.
Radius Adapter выступает промежуточным звеном между инфраструктурой компании и сервисом двухфакторной аутентификации MULTIFACTOR:
Задача адаптера — корректно обработать оба фактора (первый — логин/пароль, второй — OTP / пуш / Telegram / SMS и др.), а также учитывать политику доступа, группы, домены, кеширование и отказоустойчивость.
Кросс-платформенность и установка
В MULTIFACTOR мы провели глубокий редизайн нашего собственного Radius-адаптера. Результатом стала недавняя публикация версии V2, ключевыми направлениями модернизации которого являются:
1) Кросс-платформенность. Отказ от привязки к конкретной ОС для гибкого развёртывания.
2) Централизованная работа с множественными LDAP-каталогами, что позволяет унифицировать доступ для пользователей из разных структурных подразделений.
3) Разграничение IP-адресов. Теперь можно задавать конкретные IP, подсети, диапазоны адресов.
Radius Adapter V2 поддерживает Windows и Linux, что позволяет разворачивать систему 2FA в любой корпоративной среде. Например, для Linux проверены дистрибутивы CentOS, RHEL, Ubuntu, Debian, Astra Linux и REDOS.
Минимальные ресурсы:
1 CPU / 2 GB RAM / 8 GB HDD — хватает для ~100 одновременных подключений (около 1500 пользователей).
Из сетевых требований:
UDP 1812 — запросы от RADIUS-клиентов;
TCP 443 — доступ к LDAP и API MULTIFACTOR.
Установка начинается с ASP.NET Core Runtime 8. Далее ��� скачивание архива с GitHub, создание системного пользователя mfa, настройка прав (chown) и systemd-сервиса c автозапуском. Логи уходят в syslog и в /opt/multifactor/radius/logs, их можно подтягивать в SIEM.
Одновременная проверка первого фактора в LDAP
Одним из ключевых нововведений V2 стала возможность проверки первого фактора сразу в нескольких службах каталогов:
Active Directory
MULTIDIRECTORY
FreeIPA
OpenLDAP
Это особенно важно для организаций с гибридной инфраструктурой. Система последовательно обращается ко всем перечисленным каталогам, проверяя наличие учетной записи и корректность логина с паролем.
Конфигурация каждой службы каталогов настраивается индивидуально, включая выбор атрибутов пользователя, групп доступа и политики проверки второго фактора. В случае Active Directory реализовано кеширование схемы и структуры леса: при первом подключении Radius Adapter V2 загружает объекты, структуру доверенных доменов и DNS-суффиксы, после чего информация хранится в памяти адаптера в течение часа. Это существенно снижает нагрузку на AD и ускоряет процесс аутентификации.
Внешние RADIUS-сервера: плюс к гибкости
Radius Adapter V2 может работать c несколькими сторонними RADIUS-серверами — например, NPS или FreeRADIUS. Это даёт:
отказоустойчивость (резервные сервера);
масштабирование (разделение нагрузки);
режим RADIUS proxy — когда адаптер просто транслирует запросы “как есть”, не вмешиваясь.
Схема:
RADIUS-клиент → Radius Adapter V2 → внешний RADIUS или LDAP/API
Второй фактор и преаутентификация
Еще одна из концептуальных переработок, которую можно включить в настройках: первым теперь проверяется второй фактор, а только потом — логин/пароль в LDAP. Система сначала ждет подтверждение (от приложения MULTIFACTOR, Telegram, OTP, SMS/звонком или другими способами), и уже после этого обращается в каталог. Благодаря этому риск перебора паролей снижается.
Можно включить кеширование: успешный 2FA сохраняется на заданный интервал, и повторные запросы проходят без запроса второго фактора. Этот подход снижает риск компрометации учётной записи и предотвращает блокировку пользователей при попытках ввести пароль несколько раз подряд.
Настройка и конфигурация
Конфигурация Radius Adapter V2 строится на основном файле Multifactor.Radius.Adapter.v2.dll.config и отдельных конфигурациях для каждого клиента в папке /clients. Настройки включают IP-адреса клиентов, NAS-Identifier, shared secret, параметры LDAP (connection string, username, password, группы доступа) и атрибуты пользователя.
Адаптер поддерживает работу с несколькими доменами, требует логин в формате UPN для однозначной идентификации пользователя и обеспечивает гибкое управление политиками второго фактора для отдельных групп. Можно настроить дополнительные RADIUS-атрибуты, которые передаются клиенту и используются на сетевом оборудовании для разграничения доступа.
Для удобства интеграции с современными CI/CD и контейнерными средами поддерживаются переменные окружения: они могут полностью заменять или дополнять настройки файлов конфигурации, обеспечивая повышенную безопасность и упрощая деплой.
Кластеризация и отказоустойчивость
Radius Adapter V2 поддерживает развертывание нескольких экземпляров на одной машине или в кластерной конфигурации Active/Passive. Для балансировки нагрузки с Nginx или HAProxy рекомендуется использовать заголовок proxy_protocol.
В случае недоступности API MULTIFACTOR администратор может выбрать, пропускать второй фактор или блокировать доступ полностью.
Radius Adapter V2 фактически стал новым уровнем интеграции RADIUS с современными 2FA-процессами: кросс-платформенность, параллельная работа с несколькими каталогами, поддержка внешних RADIUS-серверов, переработанный порядок проверки факторов и гибкая конфигурация позволяют использовать адаптер в гибридных, распределённых и требовательных к отказоустойчивости инфраструктурах. В итоге решение закрывает сразу несколько типичных болей администраторов (от ручных костылей вокруг AD до масштабирования и кластеризации) и делает построение безопасной аутентификации в корпоративных сетях куда более предсказуемым и управляемым.
Если хотите узнать больше про Radius Adapter V2 и сервис двухфакторной аутентификации MULTIFACTOR, подключайтесь к нашему каналу MULTIFACTOR в Telegram — там можно узнать основные новости и оставить обратную связь. Мы внимательно собираем идеи от инженеров и админов, именно из них рождаются следующие релизы.
