none
Подключение по VPN l2tp к TMG 2010 с использование RSA on-demand аутентификации RRS feed

  • Вопрос

  • Добрый день! Прошу помощи в решении следующей проблемы. Может кто сталкивался и хотя бы может ответить, поддерживается ли такая схема или нет. Потому как ответа на данный вопрос мы так и не смогли получить.

    Итак...

    Есть RSA AM 7.1 SP4 c возможностью аутентификации через СМС (модуль on-demand)

    Есть TMG 2010 SP1, где развернут сервер VPN (l2tp) и опубликовано несколько web-приложений

    С помощью RSA AM нужно обеспечить аутентификацию пользователей как при доступе по VPN, так и для публикаций

    Для публикаций все ок, все работает как в случае физических токенов RSA (генераторов одноразовых паролей),
    так и в случае on-dema
    nd.

    Для VPN – ок  в случае физических токенов и не работает в случае on-demand

    Для публикаций стоит протокол SecureID для аутентификации

    Для VPN такого протокола не поставить, используется Radius, который расположен на сервере RSA

    В документации RSA очень мало информации по on-demand, мы только нашли, что on-demand поддерживается при
    использовании протокола secureid

    Проверили использование VPN подключения с ISA 2006, RRAS на Windows 2003 SP2, RRAS+NPS на Windows 2008
    R2 – ни в одном случае аутентифицироваться с помощью On-Demand не получилось. С использованием брелока (генератора одноразовых паролей) – во всех случаях подключение было успешным.

    Во всех ситуациях мы проверяли 2 режима для On-Demand:

    • ввод логина и PIN-кода от On-Demand аутентификатора, но токенкода по смс не приходило.
    • предварительный запрос токенкода из Self-Service консоли RSA, получение смс, ввод логина и
      пасскода (PIN от On-Demand с последовательно введенным токенкодом).

    Для VPN с использованием RADIUS протокола On-Demand аутентификация не работала. Для веб-публикаций на TMG
    работали оба режима On-Demand (см. выше). В RSA Security Center на сервере TMG  при запуске утилиты теста аутентификации работает и брелок и On-Demand (в обоих режимах).

    На TMG пробовали выбирать Windows аутентификацию (вместо RADIUS), при этом на сервере включали возможность
    локальной аутентификации с помощью RSA. В данном случае по VPN не удавалось подключиться ни одним из методов. Локально войти на сервер с помощью RSA можно было.

    Вопрос простой – есть ли возможность интеграции RSA AM с TMG для аутентификации VPN с использованием on-demand?

    Заранее большое спасибо за ответы!

    7 февраля 2012 г. 7:59

Ответы

  •  MS и RSA уже сто лет интегрируются. Поэтому и вызывает удивление, что никто об этом ничего не знает

    МS и RSA да, но не TMG и RSA.

    TMG это не ISA. ISA развивалась 2000/2004/2006, у TMG совсем другое ядро. Поэтому стройте архитектурное решение, на базе подтвержденных разработчиком решений.


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа Yuriy Lenchenkov 14 февраля 2012 г. 9:51
    9 февраля 2012 г. 11:22

Все ответы

  • День добрый.

    Возможно вам поможет ссылка, если вы ее не видели.

    http://blogs.technet.com/b/isablog/archive/2012/01/04/walk-through-for-rsa-securid-authentication-for-tmg-2010-part-1-rsa-authentication-manager-7-1-server-configuration.aspx


    MCITP. Знание - не уменьшает нашей глупости.

    7 февраля 2012 г. 8:44
  • Олег, спасибо за ответ!

    Конечно, все действия, описанные в данной статье, были выполнены. Без них не работали бы и другие описанные варианты, не только связка TMG_VPN<->RSA_ondemand

    7 февраля 2012 г. 11:43
  • Запросите документацию у производителя. Они же написали документацию по интеграции с ISA 2006.

    http://www.rsa.com/rsasecured/guides/imp_pdfs/Microsoft_ISA2006_AM7.1_WEB_.pdf

    Согласно таблицы у них нет для вашей версии Remote Authentication Server

    http://www.rsa.com/node.aspx?id=1175

    Обсуждение RSA AM version 7.1 http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/23f5c978-02d1-4b81-82e1-e5fb9f3aefaf#8c5b7556-54e6-44ff-8bb4-54b41aa4f4fd


    MCITP. Знание - не уменьшает нашей глупости.



    7 февраля 2012 г. 11:50
  • Олег,

    в данном документе по ISA 2006 разговор идет как раз только про веб-публикации, а не про VPN. Публикации же с RSA on-demand работают на ура

    Тест на ISA 2006 показал такие же проблемы

    7 февраля 2012 г. 13:35
  • Разверните Radius  в конфигурации (32 bit platforms Windows Server 2003 Server  RSA Authentication Agent 6.1.3) и укажите его для TMG как радиус сервер.


    MCITP. Знание - не уменьшает нашей глупости.

    7 февраля 2012 г. 13:54
  • Была протестирована конфигурация, в которой радиус был на сервере RSA AM, который стоял на 2003 сервере

    При этом использовалась ISA 2006, которая также была на 2003 сервере

    результат такой же - не работает on-demand для VPN, остальное работает

    8 февраля 2012 г. 10:44
  • Открывайте кейс у производителя RSA и MS.

    MCITP. Знание - не уменьшает нашей глупости.


    8 февраля 2012 г. 10:52
  • MS (причем Premier-Support) помочь не смог, только развели руками, не дав никакого ответа

    В RSA, к сожалению, нет купленной поддержки, по любым вопросам шлет лесом

    А купить ее и получить ответ - "извините, конфигурация не поддерживается" - как то не айс

    Поэтому и остается одна надежда на сообщество, может кто-нибудь сталкивался и подскажет хотя бы принципиально, возможно такое или нет

    9 февраля 2012 г. 7:25
  • Обращайтесь к интеграторам. Без тестовой среды, никто по столь специфической интеграции вам не ответит.

    Разварачивайте в конфигурацию, которая рабочая, Windwos 2003 или 2000 не зависимо от платформы. Разнесения сервисов доступа по разным маршрутам входа это считаеться best practice.


    MCITP. Знание - не уменьшает нашей глупости.


    9 февраля 2012 г. 7:50
  • Почему специфической? MS и RSA уже сто лет интегрируются. Поэтому и вызывает удивление, что никто об этом ничего не знает

    Тут появилось предположение:

    радиус-клиент на TMG при аутентификации отправляет Access-сообщение на радиус-сервер (согласно радиус-протоколу). Радиус-сервер в случае on-demand аутентификации отправляет обратно AccessChallenge-сообщение (чтобы попросить ввести токенкод пользователя), которое клиент радиуса на TMG не понимает (ждет Accept или Decline). Соответственно пользователю приходит отказ

    9 февраля 2012 г. 11:10
  •  MS и RSA уже сто лет интегрируются. Поэтому и вызывает удивление, что никто об этом ничего не знает

    МS и RSA да, но не TMG и RSA.

    TMG это не ISA. ISA развивалась 2000/2004/2006, у TMG совсем другое ядро. Поэтому стройте архитектурное решение, на базе подтвержденных разработчиком решений.


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа Yuriy Lenchenkov 14 февраля 2012 г. 9:51
    9 февраля 2012 г. 11:22
  • А как можно строить решение на базе той же ISA 2006, если она уже не продается?
    9 февраля 2012 г. 12:35
  • Задайте вопрос производителю о схемах интерграции c TMG.

    MCITP. Знание - не уменьшает нашей глупости.


    9 февраля 2012 г. 12:41
  • Ок, Олег, спасибо! будем искать ответ...

    9 февраля 2012 г. 13:41