Ich verwende eine lokale Windows Server 2019-Domäne und Microsoft RRAS, um Remotebenutzern Zugriff auf das lokale Netzwerk zu ermöglichen. Remotebenutzer verwenden das integrierte Microsoft VPN SSTP für Windows 10-Clients und L2TP für Mac-Clients.
Mein Ziel ist es, die Sicherheit der VPN-Authentifizierung mithilfe von MFA (TOTP) im Google Authenticator-Stil zu erhöhen, insbesondere da einige dieser Benutzer Google Authenticator bereits für andere Ressourcen verwenden.
Während meiner Recherche bin ich auf dieser Site auf eine Diskussion darüber gestoßen, speziell über die Lösung von SecureMFA: Active Directory + Google Authenticator – AD FS, oder wie?
Außerdem habe ich festgestellt, dass sie in den MS-Dokumenten sogar als legitimer Drittanbieter von MFA ADFS aufgeführt sind:https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-additional-authentication-methods-for-ad-fs
Meine Frage ist, ob jemand SecureMFA für MS RRAS und den integrierten Windows VPN-Client implementiert hat. Unterstützt der Windows VPN-Client überhaupt TOTP? Wie würde der Benutzer beispielsweise den 6-stelligen Code eingeben? Normalerweise wird der Benutzer von der Anwendung oder einem Webseitenformular zur Eingabe des 6-stelligen Codes aufgefordert.
Ich habe tatsächlich den Anbieter kontaktiert, aber sie sind nicht sicher, ob der Windows 10 VPN-Client ADFS-Protokolle unterstützt.
Antwort1
Sie können dies mit Cisco DUO wie folgt einrichten:
Benutzername: [Benutzername] Passwort: [Passwort] , [6-stelliger Code]
Dies wird als Anfügemethode bezeichnet und funktioniert auch mit OTP-Benutzername: [Benutzername], Passwort: [Passwort], [OTP-Code für Hardware-Token].