【SSL VPN】【认证管理】多因素认证

李昕瑞发表于:2021年07月08日 16:17:42

1     简介

文档介绍SSL VPN设备的多因素认证配置方法。多因素认证,就是一个用户在认证过程中,可以使用多个认证方法来确认身份;多个认证方法和网关的交互过程是有序的级联。上一步认证通过后,提示下一步认证输入。所有认证方法全部通过,认证才完成,否则认证失败。

2     配置前提

本文档适用于SSL VPN设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

      本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

      本文档假设您已了解单一认证配置的配置方法。

3     配置举例

3.1     组网需求

如下图所示,SSL VPN设备旁挂在用户内网的核心交换机上,公网用户需要通过地址10.44.145.222,通过两种或两种以上的认证方法确认身份进行登录,本案例中使用本地认证+证书认证+短信认证的方式进行多因素认证。

image.png

3.2     配置思路

1.       单独添加本地认证,证书认证,和短信认证服务器。

2.       添加多因素认证,确认认证的顺序。

3.       在虚拟门户中调用多因素认证。

3.3     使用版本

通用。本举例是在6.2.150.51945版本上进行配置和验证的。

3.4     配置步骤

1.       请点击【SSL-VPN】>【认证管理】根据实际多因素需要进行单独配置认证服务器。本案例中使用本地认证,证书认证和短信验证码。配置完成后,建议单独测试认证功能是否可以正常使用。测试均可正常使用后,进行多因素认证配置。

image.png

2.       配置多因素认证。请点击【SSL-VPN】>【认证管理】>【多因素认证】,进入页面后,点击【添加】添加多因素认证。多个认证方法组合为一个认证链,每个认证链都有一个唯一的标识名。第一个认证固定为主认证,其后的为从认证。除了从认证之外,系统还提供三种辅助认证方法:短信认证,邮件认证和radius挑战码。一个认证链内不能有重复的认证方法。

l  名字:多因素认证服务器名称,管理员可随意取;本案例中使用“多因素认证”。

l  本认证服务器使用终端:该多因素认证服务器使用生效的终端限制,分仅PC/仅智能终端/PC和智能终端。

l  备注:备注内容(最多128个英文字符或32个中文字符)。

l  认证策略:关联配置的多因素认证的认证策略。认证策略配置后可规定某些用户只使用主认证。

l  主认证:支持所有的认证方式。任选其一作为主认证。

l  第二步认证账号:除第一步的认证方式的其他认证,作为从认证。(非必填)

l  第三步认证账号:除第一、二步的认证方式的其他认证方式,作为从认证。 (非必填)

l  授权认证来源:可以是主认证、第一步认证账号、第二步认证账号。标明最终权限获取使用的账号。

l  辅助认证:辅助认证可以不启用,也可以用短信认证,邮件认证或radius挑战码。

l  辅助认证信息来源:若选择不启用辅助认证,则该步省略。若启用辅助认证;选择主认证/第二步/第三步认证账号,则启用短信/邮件认证,且选择短信/邮件认证的电话号码/邮箱地址来自哪一步登录账号。登录账号有相关手机或邮箱信息登录时会自动填充,无需手动输入也无法修改。

l  单点登录账号来源:可选择主认证/第二步/第三步认证账号。单点登录SSO、WEB信息传递和WSDP认证接管的账号来自选择的认证账号。

l  认证账号信息传递:1)不传递:多因素认证的账号各自独立。2)传递账号:第二、三步的账号来自第一步登录的账号。即跳转到第二步认证时,用户名已经填充,无需自行输入也无法修改。3)传递账号和密码:第二、三步的账号/密码同第一步登录的账号和密码。

注:如果传递账号或账号/密码,第一步为证书认证必须使用用户名和密码。

在本案例中使用本地认证+证书认证+短信认证的方式进行认证,如下图所示:

image.png

3.       在虚拟门户中调用该认证。请点击【SSL VPN】-【SSL-VPN选项】-【虚拟门户】打开默认门户,选中多因素认证。点击【保存】。

image.png

image.png

4     验证配置

通过客户端或浏览器打开登录界面可看到,认证服务器为配置的多因素认证。

image.png

5     注意事项

1.       如果证书认证启用使用用户名和密码,则会使用本地密码策略。

2.       如果本地认证启用了动态口令且本地账号选择了动态口令,则会弹出动态口令认证。