Rublon

Secure Remote Access

By

Ostatnia aktualizacja dnia 8 lipca 2025

Omówienie uwierzytelniania MFA dla usługi Stormshield SSL VPN przy użyciu protokołu RADIUS

W tej dokumentacji opisano, jak zintegrować Rublon MFA z Stormshield SSL VPN przy użyciu protokołu RADIUS, aby umożliwić uwierzytelnianie wieloskładnikowe dla połączeń VPN.

Wspierane metody uwierzytelniania

Metoda uwierzytelnianiaCzy wspieranaKomentarz
Powiadomienie mobilneN/A
Klucz bezpieczeństwa WebAuthn/U2FN/A
Kod dostępuN/A
Kod SMSN/A
Link SMSN/A
Połączenie telefoniczneN/A
Kod QRN/A
Link e-mailN/A
Klucz bezpieczeństwa YubiKey OTPN/A

Zanim zaczniesz konfigurować uwierzytelnianie MFA dla usługi Stormshield SSL VPN przy użyciu protokołu RADIUS

Przed skonfigurowaniem uwierzytelniania Rublon MFA dla Stormshield VPN:

  • Upewnij się, że wszystkie wymagane komponenty są gotowe.
  • Utwórz aplikację w konsoli Rublon Admin Console.
  • Zainstaluj aplikację mobilną Rublon Authenticator.

Wymagane komponenty

1. Dostawca tożsamości (IdP) — potrzebujesz zewnętrznego dostawcy tożsamości, takiego jak Microsoft Active Directory, OpenLDAP czy FreeRADIUS.

2. Rublon Authentication Proxy – zainstaluj usługę Rublon Authentication Proxy, jeśli jeszcze nie jest zainstalowana.

Ostrzeżenie

Aby ta integracja działała poprawnie, musisz zainstalować usługę Rublon Authentication Proxy w wersji 3.4.0 lub wyższej!

3. Stormshield – Prawidłowo zainstalowana i skonfigurowana zapora.

Utwórz aplikację w konsoli Rublon Admin Console

1. Zarejestruj się w konsoli Rublon Admin Console. Oto jak to zrobić.

2. W konsoli Rublon Admin Console przejdź do zakładki Applications (Aplikacje) i kliknij Add Application (Dodaj aplikację).

3. Wprowadź nazwę swojej aplikacji (np. Stormshield VPN), a następnie ustaw jej typ na Rublon Authentication Proxy.

4. Kliknij przycisk Save (Zapisz), aby dodać nową aplikację w konsoli Rublon Admin Console.

5. Skopiuj i zapisz wartości System Token i Secret Key. Te wartości będą Ci potrzebne później.

Zainstaluj aplikację Rublon Authenticator

Niektórzy użytkownicy końcowi prawdopodobnie skorzystają z aplikacji mobilnej Rublon Authenticator. Dlatego też, jako osoba konfigurująca uwierzytelnianie MFA dla usługi Stormshield VPN, zdecydowanie zalecamy Ci zainstalowanie aplikacji mobilnej Rublon Authenticator. Dzięki temu możliwe będzie przetestowanie uwierzytelniania MFA dla usługi Stormshield za pomocą metody uwierzytelniania Powiadomienie mobilne.

Pobierz aplikację Rublon Authenticator dla systemu:

Konfiguracja uwierzytelniania wieloskładnikowego (MFA) dla usługi Stormshield SSL VPN przy użyciu protokołu RADIUS

Postępuj zgodnie z poniższymi instrukcjami, aby skonfigurować uwierzytelnianie MFA dla usługi Stormshield SSL VPN przy użyciu protokołu RADIUS.

Konfiguracja serwera RADIUS

1. W konsoli administracyjnej Stormshield Network Security (SNS), wybierz zakładkę Konfiguracja. Następnie, przejdź do Użytkownicy → Portal uwierzytelniania.

2. W zakładce Dostępne metody, kliknij Dodaj metodę i wybierz Radius. Po prawej powinien pojawić się formularz z kilkoma polami.

3. Kliknij znak + (plus) obok Serwer podstawowy, wypełnij pola i kliknij Utwórz. Musisz wypełnić następujące pola:

  • Nazwa: nazwa Twojego serwera Rublon Authentication Proxy, e.g., AuthProxy
  • Adres IP v4: adres IP Twojego serwera Rublon Authentication Proxy

4. Wróć do formularza RADIUS i zachowaj ustawienie Port jako radius.

5. W polu Hasło, wprowadź wartość parametru RADIUS_SECRET z pliku konfiguracyjnego usługi Rublon Authentication Proxy a następnie kliknij Zastosuj, aby zapisać nowy serwer RADIUS.

Tworzenie metod uwierzytelniania

Teraz, gdy już skonfigurowano serwer RADIUS, należy jeszcze utworzyć dwie metody uwierzytelniania, które wymuszają protokół RADIUS w połączeniach SSL VPN.

1. Przejdź do Użytkownicy  → Portal uwierzytelniania  → Metoda uwierzytelniania.

2. Kliknij Nowa reguła i wybierz Domyślna reguła. Otworzy się nowe okno.

3. W zakładce Użytkownik, wybierz grupę użytkowników, która ma przechodzić przez uwierzytelnianie RADIUS.

4. W zakładce Źródło, kliknij Dodaj interfejs. Następnie kliknij Wybierz interfejs i wybierz [Ethernet] out z listy rozwijanej.

5. W zakładce Metody uwierzytelniania,zaznacz Domyślna metoda i naciśnij Usuń. Następnei wybierz Zatwierdź metodę uwierzytelniania → RADIUS, aby dodać nową metodę.

6. Naciśnij OK, aby potwierdzić wszystkie zmiany.

7. Teraz musisz dodać drugą metodę uwierzytelniania. Wykonaj ponownie wszystkie kroki z Tworzenie metod uwierzytelniania opisane w tej dokumentacji, ale wybierz opcję [SSL VPN] SSL VPN na karcie Źródło w kroku 4. Wszystkie pozostałe kroki dla drugiej metody są takie same.

8. Po utworzeniu dwóch metod uwierzytelniania należy je włączyć. Aby to zrobić, kliknij dwukrotnie przełącznik wyłączona dla obu reguł w kolumnie Status, tak aby zmieniły się na włączona.

9. Naciśnij Zastosuj na dole strony, aby zapisać wszystkie zmiany.

10. Gratulacje. Pomyślnie skonfigurowano uwierzytelnainie Rublon MFA dla usługi Stormshield VPN przy użyciu protokołu RADIUS. Możesz teraz przetestować uwierzytelnianie wieloskładnikowe.

Zwiększanie limitu czasu

Domyślny limit czasu RADIUS w Stormshield (RADIUS Timeout) wynosi tylko 3 sekundy. Zwiększ go do 30 sekund, aby użytkownicy mieli wystarczająco dużo czasu na ukończenie uwierzytelniania Rublon MFA.

1. Otwórz sesję SNS CLI jako administrator (przez SSH lub w konsoli CLI bezpośrednio na zaporze przez moduł System → CLI Console).

2. Wprowadź polecenie:

CONFIG AUTH RADIUS timeout=30000 btimeout=30000

Powyższe polecenie ustawia limity czasu podstawowego i zapasowego serwera RADIUS na 30000 ms (30 sekund).

3. Wprowadź następujące polecenie, aby zastosować nowe ustawienia uwierzytelniania:

CONFIG AUTH ACTIVATE

Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi Stormshield SSL VPN zintegrowanego za pośrednictwem protokołu RADIUS

Ten przykład przedstawia logowanie do usługi Stormshield VPN za pośrednictwem klienta Stormshield SSL VPN. Metoda uwierzytelniania Powiadomienie mobilne została ustawiona jako drugi czynnik w konfiguracji usługi Rublon Authentication Proxy (Parametr AUTH_METHOD został ustawiony na Push).

1. Uruchom klienta Stormshield SSL VPN, np. kliknij prawym przyciskiem myszy na aplikację na pasku zadań i wybierz Start VPN.

2. Podaj adres zapory sieciowej, nazwę użytkownika i hasło, a następnie kliknij OK.

3. Otrzymasz żądanie uwierzytelniania na swój telefon za pomocą metody Powiadomienie mobilne. Wybierz ZATWIERDŹ.

4. Nastąpi połączenie z VPN-em.

Rozwiązywanie problemów z uwierzytelnianiem MFA dla usługi Stormshield SSL VPN przy użyciu protokołu RADIUS

Ochrona przed podatnością Blast-RADIUS

Integracje RADIUS mogą wymuszać walidację atrybutu RADIUS o nazwie Message-Authenticator w celu zabezpieczenia przed podatnością w protokole Blast-RADIUS.

Usługa Rublon Authentication Proxy obsługuje atrybut Message-Authenticator od wersji 3.5.3. Usługa Rublon Auth Proxy używa opcji force_message_authenticator w pliku konfiguracyjnym (domyślnie ustawionej na true), aby zabezpieczać przed atakami Blast-RADIUS.

Jeśli masz problemy z integracją RADIUS, upewnij się, że opcja force_message_authenticator jest ustawiona na true.

Jeśli używasz usługi Rublon Authentication Proxy w wersji 3.5.2 lub starszej, zaktualizuj do najnowszej dostępnej wersji.

Jeśli napotkasz jakiekolwiek problemy z integracją Rublon, skontaktuj się z pomocą techniczną Rublon Support.

Powiązane posty

Rublon Authentication Proxy

Rublon Authentication Proxy – Integracje