Условный доступ для VPN-подключения с помощью идентификатора Microsoft Entra
В этом руководстве вы узнаете, как предоставить пользователям VPN доступ к ресурсам с помощью условного доступа Microsoft Entra. С помощью условного доступа Microsoft Entra для подключения к виртуальной частной сети (VPN) можно защитить VPN-подключения. Условный доступ — это подсистема оценки на основе политик, которая позволяет создавать правила доступа для любого подключенного приложения Microsoft Entra.
Необходимые компоненты
Прежде чем приступить к настройке условного доступа для VPN, необходимо выполнить следующие предварительные требования:
- Условный доступ в идентификаторе Microsoft Entra
- VPN и условный доступ
- Вы завершили руководство. Развертывание инфраструктуры AlwaysOn VPN для AlwaysOn VPN или уже настроено vpn-инфраструктуру AlwaysOn в вашей среде.
- Клиентский компьютер Windows уже настроен с VPN-подключением с помощью Intune. Если вы не знаете, как настроить и развернуть профиль VPN в Intune, см. статью «Развертывание профиля VPN AlwaysOn в Windows 10 или более новых клиентах с помощью Microsoft Intune».
Настройка игнорирования проверки списка отзыва сертификатов (CRL) в EAP-TLS
Клиент EAP-TLS не может подключиться, если сервер NPS не завершает отзыв проверка цепочки сертификатов (включая корневой сертификат). Облачные сертификаты, выданные пользователю идентификатором Microsoft Entra ID, не имеют списка отзыва сертификатов, так как они являются краткосрочными сертификатами с сроком существования в течение одного часа. Необходимо настроить EAP на NPS, чтобы игнорировать отсутствие списка отзыва сертификатов. Так как метод проверки подлинности — EAP-TLS, это значение реестра необходимо только в EAP\13. Если используются другие методы проверки подлинности EAP, то в них также следует добавить значение реестра.
В этом разделе вы добавите IgnoreNoRevocationCheck и NoRevocationCheck . По умолчанию IgnoreNoRevocationCheck и NoRevocationCheck задано значение 0 (отключено).
Дополнительные сведения о параметрах реестра CRL NPS см. в разделе «Настройка списка отзыва сертификатов сервера политики сети» проверка параметров реестра.
Если сервер маршрутизации Windows и удаленный доступ (RRAS) использует NPS для прокси-вызовов RADIUS ко второму NPS, необходимо установить IgnoreNoRevocationCheck=1 на обоих серверах.
Сбой в реализации этого изменения реестра приведет к сбою подключений IKEv2 с использованием облачных сертификатов с PEAP, но подключения IKEv2 с использованием сертификатов проверки подлинности клиента, выданных из локального ЦС, будут продолжать работать.
- Откройте regedit.exe на сервере NPS.
- Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.
- Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите IgnoreNoRevocationCheck.
- Дважды щелкните IgnoreNoRevocationCheck и задайте для данных «Значение» значение 1.
- Выберите «Изменить > новое» и выберите значение DWORD (32-разрядная версия) и введите NoRevocationCheck.
- Дважды щелкните NoRevocationCheck и задайте для данных «Значение» значение 1.
- Нажмите кнопку «ОК» и перезагрузите сервер. Перезапуск служб RRAS и NPS недостаточно.
Путь реестра | Расширение EAP |
---|---|
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 | Протокол EAP-TLS |
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25 | PEAP |
Создание корневых сертификатов для проверки подлинности VPN с помощью идентификатора Microsoft Entra
В этом разделе описана настройка корневых сертификатов условного доступа для проверки подлинности VPN с помощью идентификатора Microsoft Entra, который автоматически создает облачное приложение под названием VPN-сервер в клиенте. Чтобы настроить условный доступ для VPN-подключения, выполните следующие действия:
- Создайте VPN-сертификат на портале Azure.
- Скачайте этот VPN-сертификат.
- Разверните сертификат на VPN-серверах и серверах NPS.
После создания VPN-сертификата в портал Azure идентификатор Microsoft Entra будет сразу же использовать его для выдачи кратковременных сертификатов VPN-клиенту. Важно немедленно развернуть VPN-сертификат на VPN-сервере, чтобы избежать проблем с проверкой учетных данных VPN-клиента.
Когда пользователь пытается подключиться к VPN, VPN-клиент вызывает диспетчер веб-учетных записей (WAM) на клиенте Windows 10. WAM вызывает облачное приложение VPN-сервера. Когда условия и элементы управления в политике условного доступа удовлетворены, идентификатор Microsoft Entra выдает маркер в виде кратковременного (1-часового) сертификата WAM. WAM помещает сертификат в хранилище сертификатов пользователя и передает управление VPN-клиенту.
Затем VPN-клиент отправляет сертификат, выданный идентификатором Microsoft Entra, в VPN для проверки учетных данных.
Идентификатор Microsoft Entra использует последний созданный сертификат в колонке VPN-подключения в качестве издателя. Конечные сертификаты VPN-подключения к VPN-подключению Microsoft Entra теперь поддерживают надежные сопоставления сертификатов, требование проверки подлинности на основе сертификатов, введенное КБ5014754. Конечные сертификаты VPN-подключения теперь включают расширение SID (1.3.6.1.4.1.311.25.2), которое содержит закодированную версию идентификатора безопасности пользователя, полученную из атрибута onPremisesSecurityIdentifier.
Чтобы создать корневые сертификаты, выполните приведенные действия.
- Войдите на портал Azure как глобальный администратор.
- В меню слева выберите идентификатор Microsoft Entra.
- На странице идентификатора записи Майкрософт в разделе «Управление» щелкните «Безопасность«.
- На странице «Безопасность» в разделе «Защита» щелкните условный доступ.
- Условный доступ | Страница «Политики» в разделе «Управление» щелкните vpn-Подключение ivity.
- На странице VPN connectivity (VPN-подключение) щелкните Новый сертификат.
- На новой странице выполните следующие действия: a. В течение срока выбора выберите 1, 2 или 3 года. b. Нажмите кнопку создания.
Настройка политики условного доступа
В этом разделе описана настройка политики условного доступа для VPN-подключения. При создании первого корневого сертификата в колонке «VPN-подключение» он автоматически создает облачное приложение VPN-сервера в клиенте.
Создайте политику условного доступа, назначенную группе пользователей VPN, и область облачное приложение на VPN-сервер:
- Пользователи: VPN-пользователи
- Облачное приложение: VPN-сервер
- Предоставление (управление доступом): «Требовать многофакторную проверку подлинности». При желании можно использовать другие элементы управления.
Процедура. Этот шаг охватывает создание самой базовой политики условного доступа. При желании можно использовать дополнительные условия и элементы управления.
- На странице условного доступа в верхней части панели инструментов нажмите кнопку «Добавить«.
- На новой странице в поле «Имя» введите имя политики. Например, введите политику VPN.
- В разделе «Назначение» выберите «Пользователи и группы«.
- На странице Пользователи и группы выполните следующие действия: a. Выберите «Выбрать пользователей и группы«. b. Выберите Выбрать. c. На странице «Выбор» выберите группу пользователей VPN и нажмите кнопку «Выбрать«. d. На странице «Пользователи и группы» нажмите кнопку «Готово«.
- На странице Создать выполните следующие действия: a. В разделе «Назначения» выберите «Облачные приложения«. b. На странице «Облачные приложения» выберите » Выбрать приложения«. d. Выберите VPN-сервер.
- На новой странице, чтобы открыть страницу «Предоставление» в разделе «Элементы управления«, выберите «Предоставить«.
- На странице Предоставить выполните следующие действия: a. Выберите Требовать многофакторную проверку подлинности. b. Выберите Выбрать.
- На странице «Создать» в разделе «Включить политику» нажмите кнопку «Включить«.
- На странице «Создать» нажмите кнопку «Создать«.
Развертывание корневых сертификатов условного доступа в локальной службе AD
В этом разделе описано, как развернуть доверенный корневой сертификат для проверки подлинности VPN в локальной службе AD.
-
На странице подключения VPN выберите «Скачать сертификат«.
Примечание. Параметр скачивания сертификата base64 доступен для некоторых конфигураций, требующих сертификатов base64 для развертывания.
Примечание. В средах, где VPN-сервер не присоединен к домену Active Directory, необходимо добавить в хранилище доверенных корневых центров сертификации доверенные корневые центры сертификации вручную.
Команда | Description |
---|---|
certutil -dspublish -f VpnCert.cer RootCA | Создает два контейнера корневого ЦС MICROSOFT VPN 1-го поколения под контейнерами ЦС CN=AIA и CN=Сертификации и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate обоих контейнеров корневого ЦС Microsoft VPN 1-го поколения. |
certutil -dspublish -f VpnCert.cer NTAuthCA | Создает один контейнер CN=NTAuthCertificates под контейнерами CN=AIA и CN=Certificate Authority и публикует каждый корневой сертификат в качестве значения в атрибуте cACertificate контейнера CN=NTAuthCertificates. |
gpupdate /force | Ускоряет добавление корневых сертификатов на сервер Windows и клиентские компьютеры. |
- Войдите на сервер с правами Enterprise Администратор с установленными средствами управления центром сертификации.
По умолчанию устанавливаются серверы центра сертификации. Их можно установить на других серверах-членах в рамках средств Администратор istration Role в диспетчер сервера.
- На VPN-сервере в меню введите pkiview.msc, чтобы открыть диалоговое окно Enterprise PKI.
- В меню введите pkiview.msc, чтобы открыть диалоговое окно «Корпоративный PKI».
- Щелкните правой кнопкой мыши PKI Enterprise и выберите пункт «Управление контейнерами AD».
- Убедитесь, что каждый сертификат корневого ЦС MICROSOFT VPN 1-го поколения присутствует в:
- NTAuthCertificates
- Контейнер AIA
- Контейнер центров сертификации
Создание профилей VPNv2 на основе OMA-DM на устройствах Windows 10
В этом разделе описано, как создать профили VPNv2 на основе OMA с помощью Intune для развертывания политики конфигурации VPN-устройств.
- В портал Azure выберите «Профили конфигурации>устройств Intune» и выберите профиль VPN, созданный в разделе «Настройка VPN-клиента» с помощью Intune >.
- В редакторе политик выберите свойства>Параметры>Base VPN. Расширьте существующий xml EAP, чтобы включить фильтр, который дает VPN-клиенту логику, которую он должен получить сертификат условного доступа Microsoft Entra из хранилища сертификатов пользователя, а не оставить его, чтобы позволить ему использовать первый обнаруженный сертификат.
Примечание. Без этого VPN-клиент может получить сертификат пользователя, выданный локальным центром сертификации, что приведет к сбою VPN-подключения.
Найдите раздел, заканчивающийся , и вставьте следующую строку между этими двумя значениями, чтобы предоставить VPN-клиенту логику, чтобы выбрать сертификат условного доступа Microsoft Entra:
AAD Conditional Access 1.3.6.1.4.1.311.87 AAD Conditional Access
Принудительное синхронизация политик MDM на клиенте
Если профиль VPN не отображается на клиентском устройстве, в разделе Параметры\Network & Internet\VPN можно принудительно синхронизировать политику MDM.
- Войдите на клиентский компьютер, присоединенный к домену, в качестве члена группы VPN-пользователей .
- В меню введите учетную запись и нажмите клавишу ВВОД.
- В области навигации слева выберите «Доступ к рабочей или учебной среде«.
- В разделе «Доступ к рабочим или учебным заведениям» выберите Подключение в MDM, а затем выберите «Сведения«.
- Выберите «Синхронизация» и убедитесь, что профиль VPN отображается в разделе Параметры\Network & Internet\VPN.
Следующие шаги
Вы настроите профиль VPN для использования условного доступа Microsoft Entra.
- Дополнительные сведения о том, как работает условный доступ с виртуальными сетями, см. в статье VPN и условный доступ.
- Дополнительные сведения о расширенных функциях VPN см. в статье «Дополнительные функции VPN».
- Общие сведения о VPNv2 CSP см. в статье VPNv2 CSP. В этом разделе приведен обзор VPNv2 CSP.
Защита удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией
Любой удаленный доступ к конфиденциальным ресурсам должен быть защищен, а именно:
- необходимо провести строгую аутентификацию пользователя при подключении;
- необходимо создать зашифрованный канал доступа к сети.
Для решения этих задач будем использовать связку из трех компонентов:
- OpenVPN — широко известный, бесплатный VPN сервер, который создает зашифрованный туннель между пользователем и сервером, что обеспечивает конфиденциальность дистанционной работы.
- Active Directory в качестве поставщика учетных записей, чтоб не пришлось дублировать пользователей на сервере OpenVPN и раздавать новые пароли.
- Мультифактор для двухфакторной аутентификации.
Для настройки вам потребуется домен Active Directory, отдельный Linux сервер с установленным OpenVPN и подписка на сервис Мультифактор. Также необходимы минимальные навыки администрирования Linux и Windows серверов.
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль учетной записи.
- OpenVPN по протоколу RADIUS подтверждает корректность логина и пароля в Active Directory.
- Мультифактор присылает на телефон пользователя запрос для подтверждения доступа: push в Телеграм или звонок на который необходимо ответить и нажать #.
- Пользователь подтверждает запрос и подключается к VPN.
Настройка Мультифактора
Зайдите в систему управления Мультифактором, создайте новый ресурс «OpenVPN». После создания вам будут доступны два параметра: NAS Identifier и Shared Secret они понадобятся для дальнейшей настройки.
Настройка Active Directory
Загрузите и установите компонент Multifactor Radius Adapter. Компонент работает в качестве RADIUS сервера, получает запросы от OpenVPN и проверяет логин и пароль пользователя в домене.
Параметры компонента
Параметры работы компонента хранятся в файле MultiFactor.Radius.Adapter.exe.config в формате XML.
add key="adapter-server-endpoint" value="192.168.0.1:1812"/> add key="radius-shared-secret" value=""/> add key="first-factor-authentication-source" value="ActiveDirectory"/> add key="active-directory-domain" value="domain.local"/> add key="active-directory-group" value="VPN Users"/> add key="multifactor-api-url" value="https://api.multifactor.ru"/> add key="multifactor-nas-identifier" value=""/> add key="multifactor-shared-secret" value=""/>
Запуск компонента
Компонент может работать в консольном режиме или в качестве службы Windows. Для запуска в консольном режиме достаточно запустить приложение.
Для установки, как Windows Service, выполните с ключом /i от имени Администратора
MultiFactor.Radius.Adapter.exe /i
Как правильно подключить клиентские компьютеры через vpn к AD?
На данный момент имею сеовер с AD (ad, dns, dhcp). Внутри сети все работает все отлично! Но есть необходимость подключить к AD несколько удаленных компьютеров. Шлюз микротик, сейчас на нем поднят l2tp+IPSec , на других концах тоже микротики, клиентами. По ip адресам доступ к компам есть , а вот по имени нет. Соответственно, без этого не получается подключить AD. Порты в firewall открыты (необходимые для AD).
- Вопрос задан более трёх лет назад
- 4389 просмотров
Аутентификация удаленных VPN-клиентов с коммутируемым доступом с помощью сервера AD/LDAP
Vigor Router поддерживает аутентификацию PPTP/L2TP/SSL Remote Dial-In VPN-подключений с помощью локальной базы данных или внешних серверов аутентификации, включая RADIUS, LDAP/AD и TACACS+. В этой статье объясняется настройка использования внешнего сервера LDAP/AD для проверки подлинности VPN.
1. Перейдите в Applications >> Active Directory /LDAP . Установите флажок « Enable » и выберите « Bind Type» . Доступны три типа:
Simple Mode. Обычно это вариант, когда все пользователи находятся в одной папке/уровне на сервере AD/LDAP. Маршрутизатор выполняет только аутентификацию привязки, но не выполняет поиск.
Anonymous Mode — сначала выполните действие поиска с анонимной учетной записью, а затем выполните аутентификацию привязки. Он используется редко. На самом деле сервер Windows AD по умолчанию отказывается аутентифицировать анонимную учетную запись.
Regular Mode. Обычно это вариант, когда пользователи находятся в разных подпапках. В основном это то же самое с анонимным режимом, но сервер сначала проверит, есть ли у вас полномочия поиска с аутентификацией по обычному DN и
обычному паролю. В этом режиме маршрутизатор отправит запрос на привязку с этим обычным DN и обычным паролем на сервер LDAP/AD. После прохождения аутентификации маршрутизатор выполнит поиск, после чего сервер LDAP найдет точное DN пользователя в разных подпапках.
В этом примере мы будем использовать обычный режим. Предположим, что сервер Draytek LDAP имеет OU People и OU RD1, RD2, RD3 в OU People, а пользователям в OU RD1, RD2, RD3 разрешен доступ к VPN.
2. Введите IP-адрес сервера LDAP/AD в Server Address и введите Regular DN и Regular Password . Нажмите OK , после чего Vigor запросит перезагрузку системы .
Примечание . Если ваш сервер LDAP является сервером Windows AD, всегда используйте cn= для запуска обычное DN.
3. Создайте профили сервера LDAP. Перейдите на вкладку Active Directory/LDAP , щелкните номер индекса, чтобы изменить профиль.
4. Введите имя профиля. И как только сервер аутентифицирует обычное DN/пароль, который использует маршрутизатор, мы можем использовать значок поиска для быстрого ввода Base Distinguished Name . В этом примере мы хотим разрешить пользователям OU RD1, RD2 и RD3 доступ к VPN, поэтому мы выбираем сотрудников OU, которые содержат OU RD1, RD2 и RD3, для Base Distinguished Name. Затем нажмите ОК .
5. (Необязательно) DN группы для дополнительной фильтрации. Если указаны и базовое DN, и групповое DN, только пользователи, доступные в обоих путях, могут пройти аутентификацию.
6. Настройте маршрутизатор для аутентификации Host-to-LAN VPN с внешним сервером: Перейдите в раздел VPN and Remote Access >> PPP General Setup, в разделе Методы аутентификации PPP включите AD/LDAP и профиль, созданный на предыдущих шагах, и выберите PAP Only как метод аутентификации PPP Dial In.
С приведенной выше конфигурацией удаленные клиенты VPN смогут устанавливать VPN с учетными записями пользователей на сервере LDAP.
- Существует 4 метода аутентификации PPP: удаленный пользователь с коммутируемым доступом (локальная база данных), RADIUS, AD/LDAP, TACACS+. Когда все они включены, маршрутизатор сначала проверит локальную базу данных, и если она не соответствует ни одной, он перешлет информацию для аутентификации на сервер RADIUS. Затем сервер LDAP/AD, если аутентификация на сервере RADIUS также не удалась.
- При использовании сервера LDAP для аутентификации, в качестве ограничения аутентификации LDAP, мы должны выбрать PAP в качестве протокола безопасности при дозвоне через Smart VPN Client, что приведет к установлению PPTP VPN без шифрования; поэтому для большей безопасности рекомендуется использовать аутентификацию RADIUS.
Исправление проблем
При использовании сервера Windows AD для аутентификации мы можем проверить привязку учетной записи «vpn-user», запустив ldp.exe. для подключения к контроллеру домена сервера Windows AD, затем выполните простую привязку на сервере AD. Если Simple Bind на сервере AD работает, но VPN по-прежнему не может пройти аутентификацию AD, свяжитесь с нами по адресу support@digitalangel.ru и предоставьте информацию ниже.
- пакеты wireshark на сервере LDAP/AD
- скриншоты учетной записи пользователя на сервере AD/LDAP
- скриншоты конфигураций LDAP/AD на маршрутизаторе
- Информация об удаленном управлении маршрутизатором
- Учетная запись/пароль на сервере LDAP/AD для тестирования