База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами > NPS Radius Extension
Настройка 2fa для С-Терра VPN.
Автор Nikita Kim, Last modified by Dmitry Bukreev на 08 мая 2026 12:21 PM

Оглавление:

  1. Предварительные требования.
  2. Настройка взаимодействия с Radius-сервером.
  3. Настройка xAuth.
  4. Добавление Radius-приложения в NPS Radius Extention.
  5. Проверка двухфакторной аутентификации.

Предварительные требования.

  1. Настроенные компоненты Indeed: сервер и NPS Extension.
  2. Выполнена установка и настройка роли Служба политики сети и доступа (Network Policy and Access Services (NPS)), возможна установка роли на сервере Indeed AM.
    Создана сетевая политика, политика запросов на подключение, определен метод аутентификации по-умолчанию. В сетевой политике в качестве EAP выбран только PAP.
  3. Настроенный УЦ для IPsec, с поддержкой шифрования ГОСТ-Р, на базе "КриптоПро" УЦ 2.0 или Microsoft CA совместно с СКЗИ "КриптоПро" CSP 4.0 (или новее).
  4. Настроен S-Terra Gate согласно с документацией.
  5. Настроен S-Terra Client согласно с документацией.

Настройка взаимодействия с Radius-сервером.

  1. Перед настройкой взаимодействия S-Terra Gate с Radius-сервером необходимо добавить S-Terra Gate в качестве RADIUS-клиента на сервере NPS.

    Откройте оснастку Сервер сетевых политик (NPS) и раскройте раздел RADIUS-клиенты и серверы.

    Нажмите правой кнопкой мыши RADIUS-клиенты и выберите Создать.

    В окне Новый RADIUS-клиент заполните параметры:

    • Понятное имя — произвольное имя клиента;
    • Адрес (IP или DNS) — IP-адрес S-Terra Gate;
    • Общий секрет — секретный ключ для взаимодействия с RADIUS-сервером.

    Нажмите ОК.

  2. Далее необходимо добавить сетевую политику:

    • Запустите Сервер сетевых политик.

    • Раскройте раздел Политики.

    • Нажмите правой кнопкой мыши Сетевые политики и выберите Новый документ.

    • В поле Имя политики укажите произвольное имя и нажмите Далее. 
    • В окне Укажите условия добавьте условия, которые будут проверяться при подключении клиентов. Для этого нажмите кнопку Добавить... и выберите подходящее условие. После добавления условия нажмите Далее.
      Примечание. В качестве примера будет добавлено условие Группы пользователей. При добавлении группы потребуется указать имя группы пользователей из Active Directory.

    • В окне Укажите разрешения доступа выберите Доступ разрешен и нажмите Далее.

    • В окне Настройка методов проверки подлинности выберите методы проверки подлинности, которые настроены на клиенте, и нажмите Далее.
      Методы проверки подлинности со стороны сервера Radius и клиента должны совпадать, в противном случае возникнет ошибка аутентификации.

      Если вы используете проверки подлинности MS-CHAP (Challenge Handshake Authentication Protocol),
      в параметрах учетной записи пользователя в Active Directory включите опцию Хранить пароль, используя обратимое шифрование и обновите пароль пользователя.

    • В окнах Настройка ограничений и Настройка параметров оставьте значения по умолчанию и нажмите Далее.

    • В окне Завершение создания политики сети проверьте данные и нажмите Готово.

  3. В режиме Cisco-like создайте новую модель для взаимодействия с Radius-сервером при помощи следующих команд:
    aaa new-model
    aaa authentication login RADIUS1 group radius
    Где RADIUS1- пример наименования списка методов аутентификации для использования в криптокарте
  4. Задайте адрес и секретный ключ Radius-сервера следующими командами:
    radius-server host <ip-Шлюза>
    radius-server key <секретный ключ Radius-сервера>
    *По умолчанию для авторизации и аутентификации Radius-сервер использует порт 1645, а для учёта активности IPsec соединений- 1646. Чтобы задать собственный порт, используйте следующую команду:
    radius-server host <ip-Шлюза> auth-port <требуемый порт> acct-port <требуемый порт>.

Настройка xAuth.

  1. Инициируйте конфигурацию вашей динамической криптокарты:
    crypto dynamic-map <название криптокарты>
  2. Включите поддержку xAuth:
    set client authentication xauth
  3. В конфигурации терминала задайте сообщение пользователю при помощи данной команды:
    aaa authentication banner "Put your message here"

Добавление Radius-приложения в NPS Radius Extention.

  1. В mc добавьте приложение NPS Radius Extention и дайте ему название



  2. В настройках приложения укажите адрес Radius-клиента.



  3. Создайте политику в mc и добавьте туда созданное Radius-приложение. Назначьте приложению способ аутентификации.



Проверка двухфакторной аутентификации.

  1. Запустите S-Terra Client, и авторизуйтесь в него.
  2. При подключении к VPN появится следующее окно авторизации, введите в него доменные данные пользователя.



  3. Далее появится окно с запросом 2-го фактора. Введите в него свой одноразовый пароль.



    После успешного входа в mc отобразиться событие с id 1000






(4 голос(а))
Эта статья полезна
Эта статья бесполезна