Здесь мы пишем про внедрение UserGate и его интеграцию с продуктом 2FA IndeedAM для защиты подключения по VPN к внутренним ресурсам (серверам) организации.
VPN строится на UserGate, в качестве второго фактора при аутентификации используются Push-уведомления IndeedAM. При проведении подобной интеграции необходимо учитывать несколько важных моментов:
- Интеграция проводится по протоколу RADIUS
- Основной самый комфортный сценарий - Push-уведомления, так как основное подключение по VPN проходит с использованием средств ОС, которые не имеет функционала отдельного поля для ввода, например, TOTP-токена/пароля
- RADIUS сервер необходимо настраивать на стороне Indeed AM сервера, где установлен модуль Indeed AM RADIUS Extension
- Важна корректная настройка всех конфигурационных файлов Indeed, особенно AirKey (модуль Push-уведомлений от Indeed). При возникновении каких-либо ошибок сначала лучше проверить конфиги AirKey и IDP (если при конфигурации входа на консоли нет варианта использования AirKey - необходимо добавить), так как чаще всего ошибки могут быть в их конфигурации
- На UserGate необходимо отключение проверки Dead Peer Connection, так как возможны отключения от VPN по прошествии какого-либо промежутка времени или после успешного подключения без какой-либо ошибки. Такая ситуация может возникать, например, если при работе VPN используется RDP.
- На UserGate необходимо настроить порт-форвардинг до сервера Indeed с модулем AirKey, чтобы запросы проходили через UserGate (ответ на Push прилетает снаружи из Интернет)
- Если на UserGate присутствуют учетные записи с такими же логинами, как и в Active Directory, то необходимо их отключить или удалить (на UserGate), так как возможен конфликт записей при подключении.
- Если при попытке создания QR-кода в консоли пользователя выдается ошибка 500, то следует проверить веб-конфиг AIr Key и настройки приложения Push-уведомлений на Managment Console. Важно обратить внимание на URL, который будет доступен пользователям из интернета и на внешние/внутренние порты как в конфиге, так и в настройках приложения на Managment Console