OpenVPN的MFA

使用ADSelfService Plus增强登录安全性

开始免费试用

OpenVPN是什么?

OpenVPN是一款流行的开源软件,允许组织通过安全隧道连接到其公司网络。它加密您的客户端(计算机或智能手机)和服务器之间传输的数据,确保隐私和安全。OpenVPN可以屏蔽您的IP地址,使其他人难以跟踪您的在线活动。其他好处包括能够从任何地方访问数据,并绕过地理限制以访问您所在地区被阻止的内容。

使用MFA保护OpenVPN

OpenVPN使用基于时间的一次性密码(TOTP)代码提供双因素身份验证(2FA)。虽然这提供了额外的安全层,但它不是保护您的OpenVPN登录的最强大和最有效的方法。这就是ADSelfService Plus的用处。借助高级身份验证方法和自适应MFA,您将享受无缝和安全的登录过程。该解决方案还帮助您遵守NIST SP 800-63B、HIPAA、NYCRR、FFIEC、PCI DSS和GDPR等法规和授权。

ADSelfService Plus提供了一个直观的门户,您可以从各种单向和基于挑战的身份验证器中选择您首选的MFA身份验证方法。也可以为特定OpenVPN用户组配置MFA策略,以限制每个人使用相同的登录过程。

使用ADSelfService Plus设置OpenVPN后,登录过程如下:

  1. 用户打开OpenVPN客户端。
  2. 用户使用其AD域凭据完成第一阶段的身份验证。
  3. 如果成功,ADSelfService Plus 会启动 MFA 流程,最多涉及三个身份验证阶段。
  4. 一旦用户完成MFA流程,他们就会登录OpenVPN。

为OpenVPN启用MFA

以下是为OpenVPN登录配置ADSelfService Plus的MFA的方法:

先决条件

  • 确保您拥有启用Endpoint MFA的ADSelfService Plus专业版许可证。
  • 在 ADSelfService Plus 中启用 HTTPS,前往“管理”>“产品设置”>“连接”。
    注意:如果您在ADSelfService Plus for HTTPS中使用不受信任的证书,请在“配置”>“管理工具”>“GINA/Mac/Linux(Ctrl+Alt+Del)”>“GINA/Mac/Linux自定义”>“高级”下存在无效SSL证书时禁用“限制用户访问”选项。
  • NPS 扩展将使用“管理”>“产品设置”>“连接”>“配置访问 URL”下配置的访问 URL,用于与 ADSelfService Plus 服务器通信。在安装 NPS 扩展之前,请确保访问 URL 已更新。
  • 在 AD 中,设置用户的网络访问权限,通过拨号属性中的 NPS 网络策略控制访问
  • 配置您的OpenVPN网关以使用RADIUS身份验证。
  • RADIUS 服务器必须是启用 NPS 角色的 Windows Server(Windows Server 2008 R2 或更高版本)。
  • 在 Windows NPS 服务器上,设置连接请求策略身份验证设置,以验证此服务器上的请求

配置ADSelfService Plus

第1步:启用所需的身份验证器

  1. 以管理员身份登录 ADSelfService Plus。
  2. 导航到“配置”→“自助服务”→“多因素身份验证”→“身份验证器设置”。
  3. 启用OpenVPN登录所需的身份验证器。
  4. 点按“保存”。

第2步:为VPN登录启用MFA

  1. 前往“端点的 MFA”标签。
  2. 从“选择策略”下拉菜单中,选择一个策略,该策略将决定将启用MFA for VPN登录的用户。单击此处了解有关创建OU或基于组的策略的更多信息。
  3. 在“MFA for VPN Logins”部分,选中该框,并使用下拉选项选择身份验证因子的数量和身份验证方法。
  4. 点按“保存设置”。

第3步:安装NPS扩展

安装 NPS 扩展并重新启动 NPS 窗口服务。

设置已完成。当用户登录OpenVPN使用所选身份验证方法验证其身份时,系统会提示他们输入MFA。

从各种认证器中进行选择

您可以从ADSelfService Plus支持的多种身份验证器中进行选择,以登录OpenVPN。

  1. 推送通知
  2. 生物识别
  3. ADSelfService Plus TOTP
  4. 谷歌身份验证器
  1. 微软身份验证器
  2. 尤比基
  3. 短信和电子邮件验证
  4. Zoho OneAuth TOTP

实施ADSelfService Plus的MFA的优势

  • 有条件访问

    通过评估IP地址、访问时间、设备和位置等风险因素,您可以根据情况增加或减少安全措施。例如,对于从不熟悉的设备登录或在非高峰时段登录,可以增加MFA要求。

  • 实时审计报表

    通过有关尝试时间、设备类型和IP地址的详细报表,全面了解用户MFA活动。还可以获取有关所有MFA注册用户、MFA故障和受信任设备的报表。这些报表可以安排定期生成,并发送到您选择的电子邮件地址。

  • 完整的端点保护

    扩展您的身份验证选项,包括Windows、MacOS和Linux机器,以及领先的VPN提供商。MFA也可以为Outlook on the Web登录和支持RADIUS身份验证的端点实现。

支持的VPN提供商和非VPN RADIUS端点:

  • Juniper VPN
  • Fortinet VPN
  • Palo alto VPN
  • Cisco ASA AnyConnect VPN
  • SonicWall VPN
  • Checkpoint VPN
  • Citirx Gateway
  • Microsoft Remote Desktop Gateway
  • VMware Horizon View

为您的远程员工提供自适应MFA的安全OpenVPN登录

获取您的免费试用  

ADSelfService Plus还支持

  •  

    适应性MFA

    启用基于上下文的MFA,具有19种不同的身份验证因素,用于端点和应用程序登录。

    了解更多  
  •  

    企业单点登录

    允许用户通过单一的安全身份验证流程访问所有企业应用程序。

    了解更多  
  •  

    远程工作支持

    通过缓存的凭据更新、安全登录和移动密码管理来增强远程工作。

    了解更多  
  •  

    强大的集成

    通过与SIEM、ITSM和IAM工具集成,建立一个高效且安全的IT环境。

    了解更多  
  •  

    企业自助服务

    将个人资料更新和群组订阅委托给最终用户,并通过审批工作流程监控这些自助服务操作。

    了解更多  
  •  

    零信任

    使用先进的身份验证技术创建一个零信任环境,使您的网络不受威胁。

    了解更多  

我们的客户