Jump to content
Калькуляторы

RADIUS-proxy

Привет, нужен совет от RADIUS-гуру.
Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты.
Собственно, для передачи аттрибутов я решил всунуть в схему  - NPS-proxy от Windows.
Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure.
Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту.

Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются.
Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси??

З.Ы.

Настроить получилось в Connection Request Policies,  атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies.

 

 

Edited by kr1keee

Share this post


Link to post
Share on other sites

Снести весь софт от мс и поставить опенсорсный, там проще.

Share this post


Link to post
Share on other sites
В 19.06.2019 в 18:58, kr1keee сказал:

Привет, нужен совет от RADIUS-гуру.
Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты.
Собственно, для передачи аттрибутов я решил всунуть в схему  - NPS-proxy от Windows.
Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure.
Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту.

Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются.
Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси??

З.Ы.

Настроить получилось в Connection Request Policies,  атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies.

 

 

 

Зачем такие сложности? Как посоветовали выше, поставьте freeradius и не ломайте голову. Он у меня прекрасно работает в связке с daloradius, обслуживает аутентификацию на оборудовании, аутентификацию в VPN на микроте с передачей атрибутов и аутентификацию Cisco AnyConnect с передачей атрибутов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this