Я использую локальный домен Windows Server 2019 и Microsoft RRAS для предоставления удаленным пользователям доступа к локальной сети. Удаленные пользователи используют встроенный Microsoft VPN SSTP для клиентов Windows 10 и L2TP для клиентов Mac.
Моя цель — повысить безопасность аутентификации VPN с использованием MFA в стиле Google Authenticator (TOTP), особенно с учетом того, что некоторые из этих пользователей уже используют Google Authenticator для других ресурсов.
Во время своего исследования я наткнулся на обсуждение этой темы на этом сайте, в частности на решение SecureMFA: Active Directory + Google Authenticator — AD FS или как?
Плюс я также обнаружил, что они даже указаны в документации MS как законный сторонний поставщик MFA ADFS:https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-additional-authentication-methods-for-ad-fs
Мой вопрос: реализовал ли кто-нибудь SecureMFA для MS RRAS и встроенного клиента Windows VPN? Поддерживает ли клиент Windows VPN TOTP? Как пользователь может ввести 6-значный код, например? Обычно приложение или форма на веб-странице запрашивают у пользователя 6-значный код.
На самом деле я связался с поставщиком, но они не уверены, поддерживает ли VPN-клиент Windows 10 протоколы ADFS.
решение1
Вы можете настроить это с помощью Cisco DUO следующим образом:
Имя пользователя: [имя пользователя] пароль: [пароль], [6-значный код]
Это называется методом добавления, он также работает с OTP Имя пользователя: [имя пользователя] пароль: [пароль], [код OTP для аппаратного токена]