Jump to content

RADIUS-proxy

kr1keee
 Share

Recommended Posts

kr1keee

kr1keee

Posted
Posted (edited)

Привет, нужен совет от RADIUS-гуру.
Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты.
Собственно, для передачи аттрибутов я решил всунуть в схему  - NPS-proxy от Windows.
Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure.
Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту.

Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются.
Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси??

З.Ы.

Настроить получилось в Connection Request Policies,  атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies.

 

 

Edited by kr1keee
FATHER_FBI

FATHER_FBI

Posted
Posted
В 19.06.2019 в 18:58, kr1keee сказал:

Привет, нужен совет от RADIUS-гуру.
Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты.
Собственно, для передачи аттрибутов я решил всунуть в схему  - NPS-proxy от Windows.
Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure.
Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту.

Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются.
Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси??

З.Ы.

Настроить получилось в Connection Request Policies,  атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies.

 

 

 

Зачем такие сложности? Как посоветовали выше, поставьте freeradius и не ломайте голову. Он у меня прекрасно работает в связке с daloradius, обслуживает аутентификацию на оборудовании, аутентификацию в VPN на микроте с передачей атрибутов и аутентификацию Cisco AnyConnect с передачей атрибутов.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.