RADIUS-hitelesítés integrálása az Azure Multi-Factor Authentication-kiszolgálóval

A RADIUS a hitelesítési kérelmek fogadásának és feldolgozásának szabványos protokollja. Az Azure Multi-Factor Authentication-kiszolgáló RADIUS-kiszolgálóként is használható. A kétlépéses ellenőrzés hozzáadásához szúrja be a kiszolgálót a RADIUS-ügyfél (VPN-berendezés) és a hitelesítési cél közé. A hitelesítési cél Active Directory, LDAP-címtár vagy egy másik RADIUS-kiszolgáló is lehet. Ahhoz, hogy az Azure többtényezős hitelesítés működjön, konfigurálnia kell az Azure MFA-kiszolgálót, hogy az kommunikálni tudjon az ügyfélkiszolgálókkal és a hitelesítési célokkal is. Az Azure MFA-kiszolgáló fogadja a RADIUS-ügyféltől érkező kéréseket, ellenőrzi a hitelesítő adatokat a hitelesítési célhoz, hozzáadja az Azure többtényezős hitelesítést, és választ küld a RADIUS-ügyfélnek. A hitelesítési kérelem csak akkor sikeres, ha az elsődleges és az Azure-beli többtényezős hitelesítés is sikeres.

Fontos

2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési kéréseket kiszolgálni, ami a szervezet hitelesítéseinek meghiúsulását okozhatja. A zavartalan hitelesítési szolgáltatások biztosítása és a támogatott állapot megőrzése érdekében a szervezeteknek át kell telepíteniük felhasználóik hitelesítési adatait a felhőalapú Azure MFA szolgáltatásba az Azure MFA-kiszolgáló legújabb frissítésében szereplő legújabb Migration Utility használatával. További információ: Azure MFA Server Migration.

A felhőalapú MFA használatának megkezdéséhez tekintse meg az oktatóanyagot: Felhasználói bejelentkezési események biztonságossá tételét a Microsoft Entra többtényezős hitelesítésével.

Ha felhőalapú MFA-t használ, olvassa el a meglévő NPS-infrastruktúra integrálása többtényezős Azure-hitelesítéssel című témakört.

Megjegyzés:

Az MFA-kiszolgáló csak a PAP (Password Authentication Protocol) és az MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol) RADIUS-protokollt támogatja, ha RADIUS-kiszolgálóként működik. Egyéb protokollok, például az EAP (Extensible Authentication Protocol), akkor használhatók, ha az MFA-kiszolgáló egy másik olyan RADIUS-kiszolgáló RADIUS-proxyjaként működik, amely támogatja az adott protokollt.

Ebben a konfigurációban az egyirányú SMS és OATH tokenek nem működnek, mivel az MFA-kiszolgáló nem tud sikeres RADIUS kérdés-választ kezdeményezni más protokollok használatával.

RADIUS-ügyfél hozzáadása

A RADIUS-hitelesítés konfigurálásához telepítse az Azure Multi-Factor Authentication-kiszolgálót egy Windows-kiszolgálóra. Ha Active Directory-környezetet használ, a kiszolgálót a hálózaton belüli tartományhoz kell csatlakoztatni. Az Azure Multi-Factor Authentication-kiszolgáló konfigurálásához kövesse az alábbi eljárást:

1. Az Azure Multi-Factor Authentication-kiszolgálón kattintson a bal oldali menüben lévő RADIUS-hitelesítés ikonra.

2. Jelölje be a RADIUS-hitelesítés engedélyezése jelölőnégyzetet.

3. Az Ügyfelek lapon módosítsa a hitelesítési és a nyilvántartási portokat, ha az Azure MFA RADIUS szolgáltatásnak nem szabványos portokon kell figyelnie a RADIUS-kéréseket.

4. Kattintson a Hozzáadás gombra.

5. Adja meg az Azure Multi-Factor Authentication-kiszolgálón hitelesítendő készülék/kiszolgáló IP-címét, egy alkalmazásnevet (nem kötelező) és egy közös titkos kulcsot.

   Az alkalmazásnév megjelenik a jelentésekben, illetve megjelenhet az SMS-es vagy mobilalkalmazásos hitelesítési üzenetekben.

   A közös titkos kulcsnak azonosnak kell lennie az Azure Multi-Factor Authentication-kiszolgálón és a készüléken/kiszolgálón.

6. Jelölje be a Többtényezős hitelesítés megkövetelése felhasználói egyezés jelölőnégyzetet, ha az összes felhasználót importálták a kiszolgálóra, és többtényezős hitelesítésre van szükség. Ha jelentős számú felhasználó még nincs importálva a kiszolgálóra vagy mentesül a kétlépéses ellenőrzés alól, ne jelölje be a jelölőnégyzetet.

7. Jelölje be a Tartalék OATH token engedélyezése jelölőnégyzetet, ha mobil hitelesítő alkalmazásokból származó OATH PIN-kódokat szeretné biztonsági mentési módszerként használni.

8. Kattintson az OK gombra.

Szükség esetén a 4–8. lépés megismétlésével további RADIUS-ügyfeleket adhat hozzá.

RADIUS-ügyfél konfigurálása

1. Kattintson a Cél fülre.

   • Ha az Azure MFA-kiszolgáló egy tartományhoz csatlakoztatott kiszolgálón van telepítve Egy Active Directory-környezetben, válassza a Windows-tartományt.
   • Ha a felhasználókat egy LDAP-címtár alapján kell hitelesíteni, válassza az LDAP-kötést. Válassza a Címtár-integráció ikont, és szerkessze úgy az LDAP-konfigurációt a Beállítások lapon, hogy a kiszolgáló kötést hozhasson létre a címtárával. Az LDAP konfigurálásával kapcsolatos utasításokat az LDAP-proxy konfigurációs útmutatójában talál.
   • Ha a felhasználókat egy másik RADIUS-kiszolgálón kell hitelesíteni, válassza a RADIUS-kiszolgáló(ka)t.

2. Kattintson a Hozzáadás gombra, és konfigurálja azt a kiszolgálót, amelynek a kiszolgáló proxykapcsolaton keresztül átadja a RADIUS-kéréseket.

3. A RADIUS-kiszolgáló hozzáadása párbeszédpanelen adja meg a RADIUS-kiszolgáló IP-címét és egy közös titkos kulcsot.

   A közös titkos kulcsnak azonosnak kell lennie az Azure Multi-Factor Authentication- és a RADIUS-kiszolgálón. Módosítsa a hitelesítési portot és a nyilvántartási portot, ha a RADIUS-kiszolgáló eltérő portokat használ.

4. Kattintson az OK gombra.

5. Adja hozzá az Azure MFA-kiszolgálót egy RADIUS-ügyfélként a másik RADIUS-kiszolgálón, hogy fel tudja dolgozni az Azure MFA-kiszolgálóról érkező hozzáférési kéréseket. Ugyanazt a közös titkos kulcsot használja, amelyet az Azure Multi-Factor Authentication-kiszolgálón konfigurált.

További RADIUS-kiszolgálók hozzáadásához ismételje meg ezeket a lépéseket. A Feljebb és Lejjebb gombokkal konfigurálhatja a sorrendet, amely alapján az Azure MFA-kiszolgáló meghívja a kiszolgálókat.

Sikeresen konfigurálta az Azure Multi-Factor Authentication-kiszolgálót. A kiszolgáló mostantól fogadja a konfigurált ügyfelek RADIUS hozzáférési kéréseit a beállított portokon.

A RADIUS-ügyfél konfigurálása

A RADIUS-ügyfél konfigurálásához kövesse az alábbi útmutatást:

• Konfigurálja a berendezést/kiszolgálót a RADIUS-on keresztüli hitelesítésre az Azure Multi-Factor Authentication-kiszolgáló IP-címére, amely RADIUS-kiszolgálóként működik.
• Használja a korábban konfigurált közös titkos kulcsot.
• Konfigurálja a RADIUS-időtúllépést 60 másodpercre, hogy legyen idő a felhasználó hitelesítő adatainak ellenőrzésére, kétlépéses ellenőrzés végrehajtására, válasz fogadására, majd a RADIUS-hozzáférési kérelemre való válaszadásra.

További lépések

Megtudhatja, hogyan integrálható a RADIUS-hitelesítéssel , ha többtényezős Microsoft Entra-hitelesítéssel rendelkezik a felhőben.