kr1keee Posted June 19, 2019 (edited) · Report post Привет, нужен совет от RADIUS-гуру. Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты. Собственно, для передачи аттрибутов я решил всунуть в схему - NPS-proxy от Windows. Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure. Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту. Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются. Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси?? З.Ы. Настроить получилось в Connection Request Policies, атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies. Edited June 19, 2019 by kr1keee Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 21, 2019 · Report post Снести весь софт от мс и поставить опенсорсный, там проще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted June 21, 2019 · Report post В 19.06.2019 в 18:58, kr1keee сказал: Привет, нужен совет от RADIUS-гуру. Есть MultiFactorAuth server от Azure, он умеет мультифактор, но не умеет передавать атрибуты. Собственно, для передачи аттрибутов я решил всунуть в схему - NPS-proxy от Windows. Есть ASA anyconnect. Она принимает запросы от клиентов и перенаправляет их на NPS. Этот NPS далее, проксирует запрос на MultiFactorAuth server от Azure. Цепочка примерно такая: Клиент дает реквест на NPS, NPS переводит его на MFA server, который дает ацепт или реджект в обратную сторону, через NPS, к хосту. Схема работает нормально. Но атрибуты, NPS, не назначает в режиме прокси, через network policies... Замечу, что если убрать MFA из схемы и оставить ток NPS - то атрибуты передаются. Может кто-нибудь посоветовать? Как заставить NPS передавать атрибут через network policies в режиме прокси?? З.Ы. Настроить получилось в Connection Request Policies, атрибут передается, но там нет нужный мне conditions(ADgroup), которые есть в network Policies. Зачем такие сложности? Как посоветовали выше, поставьте freeradius и не ломайте голову. Он у меня прекрасно работает в связке с daloradius, обслуживает аутентификацию на оборудовании, аутентификацию в VPN на микроте с передачей атрибутов и аутентификацию Cisco AnyConnect с передачей атрибутов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...