2FA - konfiguracja TOTP

Poniższa instrukcja opisuje, jak włączyć i skonfigurować dodatkowe uwierzytelnienie użytkowników za pomocą jednorazowego hasła tymczasowego (TOTP) na urządzeniu Stormshield na przykładzie dostępu do portalu uwierzytelnienia i SSL VPN. Opcja ta jest dostępna dla firmware od wersji 4.5.x.

Jak sprawdzić, z której wersji urządzenia firmware korzystam?

TOTP możemy zastosować dla użytkowników dostępnych w bazie LDAP na urządzeniu. Nie ma możliwości zastosowania metody TOTP dla wbudowanego użytkownika admin. 

1. Synchronizacja czasu

Metoda TOTP wymaga synchronizacji czasu urządzenia Stormshield za pomocą klienta NTP. Takie ustawienia są dostępne w zakładce Konfiguracja w sekcji Ustawienia Systemowe > Konfiguracja urządzenia > Ustawienia ogólne > Ustawienia czasu.

Aby czas został zsynchronizowany z serwer NTP, wymagany jest restart urządzenia Stormshield.

2. Dodanie metody TOTP

Gdy czas jest już zsynchronizowany poprawnie, przechodzimy do Użytkownicy > Portal Uwierzytelniania i dodajemy metodę Hasło jednorazowe.

W nowo dodanej metodzie wskazujemy, gdzie ma być stosowana. Ważne, aby wskazać Portal uwierzytelniania, aby użytkownik miał możliwość zarejestrowania kodu TOTP dla swojego konta.

Ustawienia Kodu TOTP – Wystawca. Ta nazwa odpowiada nazwie pod jaką będą wyświetlane jednorazowe kody w aplikacji użytkownika.

Kolejno jest komunikat, który zostanie wyświetlony użytkownikowi podczas rejestracji kodu TOTP.

W sekcji Zaawansowane, możemy zmienić parametry odnośnie TOTP. Jednak zmiana tych parametrów nie współgra z aplikacjami Google Authenticator oraz Microsoft Authenticator. Sugerujemy wtedy skorzystać z dowolnej, innej aplikacji obsługującej TOTP.

3. Dodanie reguły uwierzytelniania

Kolejno przechodzimy do zakładki Metoda uwierzytelniania i dodajemy Regułę domyślną.

Określamy konkretnego użytkownika (lub grupę użytkowników), źródło oraz metodę uwierzytelniania z włączoną opcją TOTP.

Utworzona reguła domyślnie jest wyłączona, więc należy ją włączyć i zapisać konfigurację.

Upewnij się, że portal uwierzytelniania jest dostępny na odpowiednim interfejsie.

4. Rejestracja kodu TOTP

Teraz użytkownik powinien móc się zalogować do portalu uwierzytelniania i zarejestrować swój kod TOTP. Przechodząc pod adres urządzenia:

https://adres_urzadzenia/auth

Będzie dostępny portal uwierzytelnienia.

Po podaniu loginu i hasła, zostanie wyświetlony kod QR do rejestracji. W dowolnej aplikacji obsługującej kody TOTP rejestrujemy wyświetlony kod QR i wpisujemy wyświetlony kod w aplikacji.

Jeżeli rejestracja przebiegnie poprawnie użytkownik dostanie komunikat i zostanie wylogowany.

5. Logowanie do portalu uwierzytelniania z wykorzystaniem TOTP

Przy kolejnej próbie logowania użytkownik podaje swoje dotychczasowe poświadczenia oraz jednorazowy kod.

6. Logowanie SSL VPN z wykorzystaniem TOTP

Od wersji 3.1.x klient Stormshield SSL VPN ma wbudowaną opcję korzystania z jednorazowego hasła. Po zaznaczeniu tej opcji użytkownik może podać jednorazowe hasło wymagane do logowania.

W przypadku wykorzystywania poprzedniej wersji aplikacji SSL VPN, lub aplikacji OpenVPN jednorazowy kod należy połączyć z hasłem i wprowadzić w pole hasła.

Przykład:
Hasło – Pa$$w0rd
TOTP – 111222
Hasło jakie użytkownik musi wpisać - Pa$$w0rd111222