Jump to content
Калькуляторы

RADIUS-proxy

Привет, нужен совет от RADIUS-гуру.
Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты.
Собственно, для передачи аттрибутов я решил всунуть в схему  - NPS-proxy от Windows.
Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure.
Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту.

Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются.
Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси??

З.Ы.

Настроить получилось в Connection Request Policies,  атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies.

 

 

Edited by kr1keee

Share this post


Link to post
Share on other sites

В 19.06.2019 в 18:58, kr1keee сказал:

Привет, нужен совет от RADIUS-гуру.
Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты.
Собственно, для передачи аттрибутов я решил всунуть в схему  - NPS-proxy от Windows.
Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure.
Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту.

Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются.
Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси??

З.Ы.

Настроить получилось в Connection Request Policies,  атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies.

 

 

 

Зачем такие сложности? Как посоветовали выше, поставьте freeradius и не ломайте голову. Он у меня прекрасно работает в связке с daloradius, обслуживает аутентификацию на оборудовании, аутентификацию в VPN на микроте с передачей атрибутов и аутентификацию Cisco AnyConnect с передачей атрибутов.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.