W tej dokumentacji wyjaśniono, jak zintegrować Rublon MFA z Ubiquiti UniFi Dream Machine (UDM, UDM-SE) przy użyciu protokołu RADIUS, aby umożliwić uwierzytelnianie wieloskładnikowe dla połączeń VPN.
Uwaga
Niniejsza dokumentacja została sprawdzona na platformie UniFi Dream Machine SE (UDM-SE). Ten sam ogólny schemat działania protokołu RADIUS i usługi VPN ma zastosowanie do innych wdrożeń UniFi Dream Machine, chociaż etykiety menu i dostępne opcje mogą się różnić w zależności od modelu Dream Machine i wersji oprogramowania UniFi na nim działającego.
Omówienie uwierzytelniania MFA dla usługi Ubiquiti UniFi Dream Machine
Uwierzytelnianie Rublon MFA dla Ubiquiti UniFi Dream Machine (UDM) stanowi dodatkową warstwę ochrony, zapewniającą, że tylko uprawnieni użytkownicy mają dostęp do systemu. Ubiquiti UniFi Dream Machine MFA wymusza zarówno podstawowe uwierzytelnienie (nazwa użytkownika i hasło), jak i drugą metodę, taką jak Powiadomienie mobilne, aby zagwarantować dostęp wyłącznie zweryfikowanym użytkownikom w ramach wielowarstwowego podejścia do bezpieczeństwa.
Nasza dokumentacja opisuje prosty i szybki sposób integracji Rublon MFA z usługą Ubiquiti UniFi Dream Machine przy użyciu protokołu RADIUS. Integracja ta pozwala włączyć uwierzytelnianie wieloskładnikowe podczas logowań użytkowników i podnieść poziom bezpieczeństwa w przedsiębiorstwie.
Wspierane metody uwierzytelniania
Zanim zaczniesz konfigurować uwierzytelnianie MFA dla usługi Ubiquiti UniFi Dream Machine
Przed skonfigurowaniem uwierzytelniania Rublon MFA dla Ubiquiti UniFi Dream Machine:
- Upewnij się, że wszystkie wymagane komponenty są gotowe.
- Utwórz aplikację w konsoli Rublon Admin Console.
- Zainstaluj aplikację mobilną Rublon Authenticator.
Wymagane komponenty
1. Dostawca tożsamości (IdP) — potrzebujesz zewnętrznego dostawcy tożsamości, takiego jak FreeRADIUS czy Microsoft NPS.
2. Rublon Authentication Proxy – zainstaluj usługę Rublon Authentication Proxy, jeśli jeszcze nie jest zainstalowana oraz skonfiguruj usługę Rublon Authentication Proxy jako serwer proxy RADIUS.
3. Ubiquiti UniFi Dream Machine – Prawidłowo zainstalowana i skonfigurowana usługa Ubiquiti UniFi Dream Machine (UDM) lub Ubiquiti UniFi Dream Machine SE (UDM-SE).
Utwórz aplikację w konsoli Rublon Admin Console
1. Zarejestruj się w konsoli Rublon Admin Console. Oto jak to zrobić.
2. W konsoli Rublon Admin Console przejdź do zakładki Applications (Aplikacje) i kliknij Add Application (Dodaj aplikację).
3. Wprowadź nazwę swojej aplikacji (np. Ubiquiti UniFi Dream Machine), a następnie ustaw jej typ na Rublon Authentication Proxy.
4. Kliknij przycisk Save (Zapisz), aby dodać nową aplikację w konsoli Rublon Admin Console.
5. Skopiuj i zapisz wartości System Token i Secret Key. Te wartości będą Ci potrzebne później.
Zainstaluj aplikację Rublon Authenticator
Niektórzy użytkownicy końcowi prawdopodobnie skorzystają z aplikacji mobilnej Rublon Authenticator. Dlatego też, jako osoba konfigurująca uwierzytelnianie MFA dla usługi Ubiquiti UniFi Dream Machine, zdecydowanie zalecamy Ci zainstalowanie aplikacji mobilnej Rublon Authenticator. Dzięki temu możliwe będzie przetestowanie uwierzytelniania MFA dla usługi Ubiquiti UniFi Dream Machine za pomocą metody uwierzytelniania Powiadomienie mobilne.
Pobierz aplikację Rublon Authenticator dla systemu:
Konfiguracja uwierzytelniania wieloskładnikowego (MFA) dla usługi Ubiquiti UniFi Dream Machine
Najpierw wykonaj kroki konfiguracyjne opisane w sekcji Rublon Authentication Proxy. Następnie, w zależności od preferowanego protokołu VPN, przejdź do sekcji Ubiquiti UniFi Dream Machine – OpenVPN Configuration albo Ubiquiti UniFi Dream Machine – L2TP Configuration.
Konfiguracja protokołu WireGuard nie została uwzględniona w tej dokumentacji, ponieważ nie obsługuje zewnętrznego źródła uwierzytelniania, a tym samym nie obsługuje również rozwiązania Rublon MFA.
Przepływ konfiguracji jest podobny we wszystkich obsługiwanych bramach UniFi Gateways działających z kompatybilną wersją UniFi Network, chociaż wygląd interfejsu GUI oraz położenie poszczególnych opcji mogą się różnić w zależności od modelu urządzenia i wersji UniFi Network.
Rublon Authentication Proxy
1. Edytuj plik konfiguracyjny usługi Rublon Auth Proxy i wklej wcześniej skopiowane wartości System Token i Secret Key odpowiednio w opcjach system_token i secret_key.
Uwaga
Ze względu na bardzo krótki, stały timeout wynoszący około 5 sekund, OpenVPN uruchomiony na UniFi Dream Machine działał w naszych testach niezawodnie tylko z MFA opartym na metodzie Powiadomienie mobilne. Z uwagi na to, że tego limitu czasu nie można zmienić, metoda Powiadomienie mobilne jest obecnie jedyną praktyczną metodą uwierzytelniania dla tej integracji i wymaga szybkiej oraz stabilnej komunikacji sieciowej. Nawet krótkie opóźnienia mogą spowodować niepowodzenie uwierzytelnienia.
Z kolei L2TP VPN stosuje wyraźnie dłuższe timeouty, chociaż ich również nie można konfigurować ręcznie. W naszych testach zarówno 2FA przez e-mail, jak i Powiadomienie mobilne działały poprawnie z L2TP.
2. Przykładowa konfiguracja w pliku YAML:
global:
secret_source: plain # Options: plain, env, vault
log:
debug: false
rublon:
api_server: https://core.rublon.net
#OracleDB
system_token: YOURSYSTEMTOKEN
secret_key: YOURSECRETKEY
proxy_servers:
- name: RADIUS-Proxy
type: RADIUS
radius_secret: YOURRADIUSSECRET
ip: 0.0.0.0
port: 1812
mode: standard
auth_source: LDAP_SOURCE_1
auth_method: push,email
cert_path: /etc/ssl/certs/ca.crt
pkey_path: /etc/ssl/certs/key.pem
force_message_authenticator: false
auth_sources:
- name: LDAP_SOURCE_1
type: LDAP
ip: 172.16.0.127
port: 636
transport_type: ssl
search_dn: dc=example,dc=org
access_user_dn: cn=admin,dc=example,dc=org
access_user_password: CHANGE_ME
ca_certs_dir_path: /etc/ssl/certs/Zobacz: Jak skonfigurować certyfikaty LDAPS w Rublon Authentication Proxy?
Ubiquiti UniFi Dream Machine – konfiguracja OpenVPN
1. W panelu po lewej stronie przejdź do Settings → VPN → VPN Server → Create New.
2. W sekcji VPN Type wybierz OpenVPN.
3. Większość ustawień OpenVPN uzupełnia się automatycznie. Ustaw Credential Source na External RADIUS Server, a następnie dodaj nowy serwer RADIUS, wybierając New.
4. W nowym oknie uzupełnij formularz. Zapoznaj się z poniższym obrazkiem i tabelą.
| Name | Dowolna opisowa nazwa. |
| IP Address | Adres IP usługi Rublon Auth Proxy. |
| Port | 1812 (domyślny port dla RADIUS). |
| Shared Secret | Sekret RADIUS współdzielony między usługami Rublon Auth Proxy i Ubiquiti UniFi Dream Machine (ten sam, który ustawiono w radius_secret w pliku konfiguracyjnym Rublon Auth Proxy) |
5. Po uzupełnieniu pól wybierz Add, następnie ponownie wybierz Add, aby zatwierdzić wybór serwera. Na końcu wybierz Apply Changes, aby zastosować zmiany.
6. Po zapisaniu konfiguracji wybierz Download, aby pobrać plik konfiguracyjny OpenVPN. Plik ten zostanie później zaimportowany do klienta OpenVPN podczas testowania konfiguracji OpenVPN dla uwierzytelniania MFA w Dream Machine.
Ubiquiti UniFi Dream Machine – konfiguracja L2TP
1. W panelu po lewej stronie przejdź do Settings → VPN → VPN Server → Create New.
2. W sekcji VPN Type wybierz L2TP.
3. Większość ustawień serwera L2TP uzupełnia się automatycznie. Ustaw Credential Source na External RADIUS Server, a następnie dodaj nowy serwer RADIUS, wybierając New.
4. W nowym oknie uzupełnij formularz. Zapoznaj się z poniższym obrazkiem i tabelą.
| Name | Dowolna opisowa nazwa. |
| IP Address | Adres IP usługi Rublon Auth Proxy. |
| Port | 1812 (domyślny port dla RADIUS). |
| Shared Secret | Sekret RADIUS współdzielony między usługami Rublon Auth Proxy i Ubiquiti UniFi Dream Machine (ten sam, który ustawiono w radius_secret w pliku konfiguracyjnym Rublon Auth Proxy) |
5. Po uzupełnieniu pól wybierz Add, a następnie ponownie wybierz Add, aby zatwierdzić wybór serwera.
6. Przed zapisaniem konfiguracji zanotuj następujące wartości z ekranu konfiguracji L2TP:
- Pre-Shared Key
- Server Address
Obie wartości będą potrzebne później podczas konfigurowania klienta L2TP w systemie Windows 11.
7. Wybierz Apply Changes, aby zapisać konfigurację L2TP VPN.
8. Na urządzeniu z systemem Windows 11, które będzie używane do testów, otwórz Settings → Network & Internet → VPN → VPN connections → Add VPN.
9. W oknie Add a VPN connection skonfiguruj klienta, używając wartości z konfiguracji L2TP na UniFi Dream Machine:
- Connection name — Wpisz dowolną opisową nazwę.
- Server name or address — Wpisz wartość Server Address z konfiguracji L2TP na Dream Machine.
- VPN type — Wybierz L2TP/IPsec with pre-shared key.
- Pre-shared key — Wpisz wartość Pre-Shared Key z konfiguracji L2TP na Dream Machine.
- Type of sign-in info — Wybierz Username and password.
- Username — Wpisz nazwę użytkownika, który będzie uwierzytelniany przez Rublon.
- Password — Wpisz odpowiadające mu hasło.
Dla wygody możesz zapisać nazwę użytkownika i hasło w kliencie.
10. Wybierz Save.
11. W sekcji VPN connections rozwiń zapisane połączenie VPN, a następnie wybierz Edit obok More VPN properties i otwórz kartę Security.
12. Skonfiguruj ustawienia w karcie Security w następujący sposób:
- Type of VPN — Layer 2 Tunnelling Protocol with IPsec (L2TP/IPsec)
- Data encryption — Optional encryption (connect even if no encryption)
- W sekcji Authentication wybierz Allow these protocols
- Zaznacz Unencrypted password (PAP)
- Odznacz Challenge Handshake Authentication Protocol (CHAP)
- Odznacz Microsoft CHAP Version 2 (MS-CHAP v2)
- Nie zaznaczaj Use Extensible Authentication Protocol (EAP)
13. Wybierz OK, aby zapisać zaawansowane ustawienia zabezpieczeń VPN.
14. Klient L2TP w systemie Windows 11 jest teraz gotowy do testów.
Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi Ubiquiti UniFi Dream Machine – OpenVPN
Ten przykład przedstawia logowanie wieloskładnikowe Rublon MFA do usługi Ubiquiti UniFi Dream Machine przy użyciu klienta OpenVPN. Metoda uwierzytelniania Powiadomienie mobilne została ustawiona jako drugi czynnik w konfiguracji usługi Rublon Authentication Proxy (Parametr AUTH_METHOD został ustawiony na Push).
1. Otwórz klienta OpenVPN, wybierz opcję Upload File i prześlij plik konfiguracyjny OpenVPN pobrany podczas konfiguracji.
2. Wybierz Connect.
3. Otrzymasz żądanie uwierzytelniania za pomocą metody Powiadomienie mobilne na swój telefon. Wybierz ZATWIERDŹ.
4. Zostanie nawiązane połączenie z VPN hostowanym na Ubiquiti UniFi Dream Machine.
Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi Ubiquiti UniFi Dream Machine – L2TP
Ten przykład przedstawia logowanie wieloskładnikowe Rublon MFA do usługi Ubiquiti UniFi Dream Machine przy użyciu klienta Windows 11 L2TP. Metoda uwierzytelniania Powiadomienie mobilne została ustawiona jako drugi czynnik w konfiguracji usługi Rublon Authentication Proxy (Parametr AUTH_METHOD został ustawiony na Push).
1. Otwórz zapisane połączenie VPN systemu Windows 11 i wybierz opcję Połącz.
2. Otrzymasz żądanie uwierzytelniania za pomocą metody Powiadomienie mobilne na swój telefon. Wybierz ZATWIERDŹ.
3. Zostanie nawiązane połączenie z VPN hostowanym na Ubiquiti UniFi Dream Machine.
Rozwiązywanie problemów z uwierzytelnianiem MFA dla usługi Ubiquiti UniFi Dream Machine
Jeśli napotkasz jakiekolwiek problemy z integracją Rublon, skontaktuj się z pomocą techniczną Rublon Support.