| Descripción | Este artículo describe una limitación de ciertos métodos MFA para Azure AD y NPS Extension.
Si bien la autenticación y la entrega de códigos MFA funcionan con Azure NPS Extension, los atributos de Radius configurados en las políticas de NPS no se reenviarán a Radius Client si se usan los siguientes métodos de MFA: – SMS. |
| Alcance | Extensión SSL-VPN y Azure NPS para MFA. |
| Solución | Se sabe que es posible hacer coincidir grupos específicos creados en FortiGate en función de los atributos de radio configurados en las políticas de NPS. Teniendo en cuenta que la integración de Azure AD con servidores NPS y MFA es cada vez más popular, se requiere el uso de Microsoft NPS Extension en Azure. Todo esto funciona bien, pero hay una advertencia que depende del método de entrega del código MFA. Si el usuario necesita insertar manualmente el Token desde SMS, aplicación móvil o token de hardware, los atributos Radius configurados en la política NPS no se reenviarán, por lo tanto, la coincidencia de grupos se comportará de manera inesperada. Esta es una limitación de la extensión NPS de Microsoft y han actualizado su documentación. Por favor ver más abajo: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension
Una posible solución en los casos en que las notificaciones automáticas no son posibles y, sin embargo, se necesita la coincidencia de grupos, es utilizar la IP de NAS para diferenciar cada grupo que se asigna a cada servidor de radio creado en FortiGate. Consulte los pasos de alto nivel a continuación: 1) Cree servidores Radius separados con una IP de NAS individual configurada. 2) Asocie cada grupo de firewall con un servidor Radius. 3) Grupos apropiados asociados a políticas de firewall y asignaciones de portal VPN SSL. 4) Cree una política de solicitud de conexión con la IP de NAS como condición que se utilizará para cada grupo. 5) Cree una política de red con la condición establecida en NAS IP y Windows AD Group. Con ese conjunto, aunque los VSA (atributos específicos del proveedor) de las políticas de NPS no se reenvían, la coincidencia se realiza mediante las condiciones establecidas en la solicitud de conexión y las políticas de red. |
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!