En este manual encontraras los pasos a seguir para realizar una integración de Radius en OpenVPN Access Server
Requisitos
- Tener instalado el rol de NPS instalado en un servidor
- Acceso al panel de OpenVPN con permisos de administrador
- Acceso a la plataforma de Ironchip con permisos de administrador
1- Configuración del servicio en Ironchip
Para realizar la configuración del servicio en el panel de Ironchip iremos al apartado de Applications y seleccionaremos MFA Integrations.
Hacemos click en ADD MFA y le ponemos un nombre descriptivo, en este caso será OpenVPN.
En la siguiente ventana seleccionaremos copiar o descargar credenciales.
Volvemos al apartado de aplicaciones y seleccionamos New Application, añadimos un nombre descriptivo, seleccionamos el método de integración que acabamos de crear y por último en el apartado que se nos ha habilitado añadiremos la política que crearemos más tarde el servidor.
2- Configuración de NPS
Para proceder con la configuración de NPS lo primero que vamos a hacer es crear dos grupos en el Directorio Activo, uno lo usaremos para realizar la autenticación con Ironchip y el otro lo usaremos para aquellos usuarios que no precisen de MFA.
Una vez creado los grupos y asignados los usuarios iremos al panel de administración de NPS y crearemos una política de red.
En la siguiente ventana nos dejará añadir un grupo, le damos a Add > User Groups y añadimos uno de los grupos que hemos creado previamente.
Le damos Next hasta llegar Configure Authentication Methods y seleccionamos las casillas Encrypted authentication (CHAP) y Unencrypted Authentication (PAP,SPAP) y le damos Next hasta finalizar.
A continuación, iremos al apartado de Radius Clients y crearemos un nuevo cliente radius que apunte al OpenVPN Server. Le pondremos un nombre descriptivo en este caso el nombre al SP que está apuntando, la ip y por último el secreto compartido que lo podemos poner de forma manual o generarlo automáticamente.
Por último iremos en el panel de Irochip y en el apartado de Plugins descargaremos el plugin de NPS en el servidor.
Una vez descargado el plugin lo ejecutaremos, nos pedirá que aceptemos los términos y condiciones y luego nos pedirá que rellenemos unos parámetros.
La API Key la tenemos en el archivo que nos hemos descargado cuando hemos creado el servicio.
Y en NPS Policies añadiremos la política que queramos que sea protegida por Ironchip.
3- Configuración OpenVPN Server
Accedemos al panel de OpenVPN y en el apartado de Authentication seleccionamos Radius. Lo primero que haremos será activar radius y los accounting reports.
A continuación, nos vamos al apartado de Radius Server y añadiremos la ip del servidor donde hemos configurado NPS y añadiremos el secreto que hayamos puesto en el cliente radius.
4- Configuración de Usuarios en Servicio
Para permitir el acceso de un usuario a la VPN aparte de estar en el grupo que hemos creado en el directorio activo, tendremos que generar un acceso en el servicio que hemos creado en el panel de Ironchip.
Para ello iremos al servicio en el panel de Ironchip y le daremos a Add Access.
A continuación, nos aparecerán los usuarios y grupos que estén en la plataforma, tendremos que seleccionar qué usuario hará la autenticación.
En la siguiente ventana nos pedirá que añadamos un User Name, por defecto esta el email, eliminaremos el tag que está por defecto y pondremos el nombre del usuario, en caso de que tengamos sincronizado el directorio activo ya sea a través de Ad Connect en caso de un directorio On Premise o aplicación empresarial con Azure AD podemos usar el tag de samAccountName.
A continuación, nos pedirá que configuremos las condiciones de acceso.
Por último, nos quedaría probar la autenticación, para ello iremos al cliente de OpenVPN y generaremos un nuevo perfil y usaremos las credenciales del dominio para conectarnos a la VPN.
Al generar el perfil nos pedirá autenticarnos.
