В настоящее время у нас настроен SSL VPN Watchguard, где пользователи аутентифицируются с помощью локального AD.
Локальный AD синхронизируется с помощью Azure AD Connect для передачи пользователей в M365/Azure AD.
MFA уже используется в M365 и также на локальной ферме RDS, мы используем расширение NPS Azure для перенаправления запросов MFA с фермы RDS на Azure AD.
Теперь мы хотим использовать MFA и для SSL VPN. Поскольку SSL VPN используется пользователями, которые не используют ферму RDS, а только подключаются к локальным ресурсам, например, сетевому диску, и им не нужен сервер приложений RDS. Мы не хотим использовать Watchguard Auth Point, а хотим, чтобы пользователи использовали то же приложение MS Authenticator/метод, который они используют для MFA/входа в M365 или ферму RDS.
Существует множество статей о настройке Azure AD SSO для Watchguard/SSL VPN, но в нашем случае, файрвол Watchguard интегрирован с локальным AD для аутентификации.
Если мы захотим использовать MFA, как Watchguard передаст запрос на MFA в Azure AD?
Нужно ли отключить интеграцию с локальным AD в Watchguard и подключить его напрямую к Azure AD? Или как работает запрос на MFA, исходящий от локального radius-сервера, через SSL VPN, в Azure AD?
Для этого, чтобы работать с фермы RDS на локальной стороне, мы используем расширение Azure NPS, которое перенаправляет запросы MFA в Azure. Как это будет работать с SSL VPN?
Для этого я спросил у ChatGPT, и он утверждает, что можно использовать то же расширение Azure NPS для перенаправления запросов MFA. Я бы не хотел использовать это расширение, так как у меня есть ощущение, что Microsoft скоро от него откажется, и замена — Azure Proxy — станет предпочтительным способом для MFA на локальных фермах RDS.
Вы можете подключить Watchguard к существующему NPS с расширением Azure MFA.
Это начальная точка:
Там есть некоторые настройки тайм-аутов при использовании MFA, которые можно найти по ссылкам в этой статье, если я правильно помню.
Также имейте в виду, что push-уведомления и, возможно, звонки — ваш единственный вариант, если вы хотите, чтобы членство в группах передавалось из NPS в Watchguard. SMS и OTP тоже работают, но NPS не передает фильтр id 11, следовательно, VPN-группа пользователя не будет передана.
Мы делали так для нескольких клиентов, и это должно работать и у вас.
На данный момент единственный возможный способ — использовать либо AzureAD, либо Radius. Но… поскольку ваш AD синхронизирован с AzureAD… зачем вам вообще проблема с использованием AAD SSO в Watchguard? Это может значительно упростить систему, не так ли?
Понимаю, что это упростит систему, но для ясности — не нужно держать Watchguard подключенным к локальному AD? Просто отключить и подключить к Azure AD?
Для SSL VPN да, подключите его к AAD. Однако, если у вас реализован контент-фильтр с SSO и групповым доступом… это остается в AD (например, серверы RDS с шлюзом аутентификации Watchguard или что-то в этом духе).
Однако я всегда забываю, что Watchguard по-прежнему блокирует SAML-аутентификацию на фаерволе, чтобы не конкурировать с Microsoft MFA и AuthPoint. Поэтому лучший вариант — оставить локальный Radius для сейчас, так как использование AzureAD для SSL VPN от Watchguard требует активации AAD Directory Services, что точно не бесплатно
