双因素认证登录深信服VPN、华为VPN

设备认证

竹云IDaaS提供Radius Server能力,支持各类VPN(深信服、华为、网御等)、云桌面(华为)等企业设备通过Radius协议配置后,进行认证。

您可以使用IDaaS本地库进行认证;可以直接选择OTP进行认证;还可以通过IDaaS指向到企业的AD后,用AD的用户密码体系进行认证。同时,因为安全性考虑,您还可以选择前面两种方式后,再启用短信验证码或OTP等方式,进行多因素认证。

本文以深信服VPN为例进行说明。

参考文档SANGFOR_SSLVPN_v7.1_RADIUS认证测试指导

# 准备工作

前提:收集到企业设备的基本信息,包含设备名称,设备IP,共享秘钥等。

配置要求上,需要您的网络设备能够指向连接到IDaaS的Radius 服务地址。

# IDaaS 配置

  • 1.创建企业设备。

管理员登录企业中心,【资源】-【企业设备】—添加企业设备

参数 说明
设备LOGO 设置企业设备的LOGO。上传图片文件大小不超过50K
*名称 设置企业设备的名称
*类型 选择设备类型:VPN、NAS、OTHERS。根据需要添加的企业设备类型进行选择
厂商 选择设备厂商:华为、深信服、H3C、天融信、飞塔、Cisco等。根据需要添加的企业设备厂商进行选择。
*IP地址 设置提供VPN服务的出口IP
*一次认证源 设置一次认证方式:本地库、AD、OTP。
本地库:OneAccess的用户名、密码认证。
AD:全称Active Directory。选择后,用户需要用企业AD的用户密码体系进行一次认证。
OTP:全称One-Time Password,也称动态口令。
二次认证源 设置二次认证方式:NONE、SMS、OTP。开启后,用户通过用户门户进入此设备需要进行二次认证。
NONE:不开启二次认证。
SMS:全称Short Message Service,即短信息服务。
OTP:全称One-Time Password,也称动态口令。
*共享密钥 VPN服务与OneAccess服务互相认证的密钥,必须包含数字,大写字母,小写字母和特殊字符,最少16位,最长32位

  • 2.创建测试用户

【用户】-【组织与用户】—添加用户 zhangsan

  • 3.查看Radius配置

【设置】-【服务配置】-RADIUS配置 查看Radius Server 地址和认证端口

# SANGFOR_SSLVPN上配置

  • 1.添加Radius认证

  • 2.Radius服务器基本属性配置
参数 说明
服务器地址 对应IDaaS配置中 Radius Server radius.bccastle.com 域名的ip地址+端口,例如:39.100.2.100:30058
认证协议 不加密协议PAP
共享密钥 与IDaaS中企业设备的共享密钥一致
字符集 默认是UTF-8,可根据实际情况进行选择,支持UTF-8和GBK
认证超时设置 认证超时的设置,根据客户需求选择启用还是禁用,根据客户需求配置超时时间,默认5s

  • 3.Radius服务器扩展属性配置(可选)

Radius扩展属性主要应用于radius用户需要绑定手机号码或者虚拟IP的时候的设置,如果没有这个需求可以不进行配置。

Radius用户绑定手机号码或者虚拟IP,需要客户RADIUS服务器设置好相应的ID字段及子属性值绑定这些信息,SSLVPN上RADIUS认证配置好对应的属性ID,在用户认证的时候会通过SSLVPN上RADIUS 认证配置好的属性ID去RADIUS服务器查询对应的值,即手机号码或者虚拟IP。

  • 4.Radius用户组映射设置(可选)

RADIUS用户组映射的设置主要应用于客户需要针对RADIUS上的用户的分组授权不同的资源,这 种情况下就可以将radius上的不同的用户组映射到本地不同的用户组。

这里的字段是指RADIUS服务器上用户分组的字段名称,然后配置映射到本地哪个用户组,比如 RADIUS服务器上的字段1对应本地的学生组,字段0对应本地的老师组。

设置RADIUS组映射的时候,RADIUS分组信息必须由CLASS属性25携带,这样SSLVPN才能 识别,进行组映射在没有配置特定的组映射的时候,RADIUS的用户会匹配默认的组映射规则,匹配到对应的用户 组的权限,这个默认映射的用户组可以自己设置,然后授权需要给RADIUS用户访问的资源

  • 5.配置认证策略

进入认证设置,认证策略-外部认证策略-选择外部认证服务器。 勾选上一步中添加的Radius认证服务器

# 登录测试

VPN控制台编辑用户-选择首选的认证方式-Radius,避免用户测试登录时首选本地数据库,影响测试结果。

PC进行账号密码认证,浏览器或客户端访问vpn地址,输入IDaaS的测试用户名密码即可登录。

通过IDaaS企业中心或VPN控制台的用户登录日志均可查看测试登录情况。

# FAQ

# VPN认证提示用户名密码错误

在VPN认证时输入用户名+密码提示,提示密码错误,但是通过用户名密码访问IDaaS用户中心又可以进行登录。 可以检查IDaaS设备配置中的共享密钥和设备自身服务端共享密钥是否一致。

Last Updated: 6/23/2022, 5:55:15 PM