我正在运行本地 Windows Server 2019 域和 Microsoft RRAS,以允许远程用户访问本地网络。远程用户正在使用内置的 Microsoft VPN SSTP(适用于 Windows 10 客户端)和 L2TP(适用于 Mac 客户端)。
我的目标是使用 Google Authenticator 样式 MFA(TOTP)来增强 VPN 身份验证的安全性,特别是因为其中一些用户已经在使用 Google Authenticator 来获取其他资源。
在我研究的过程中,我偶然发现了这个网站上关于这个问题的讨论,特别是关于 SecureMFA 的解决方案: Active Directory + Google Authenticator - AD FS,或者如何?
另外,我还发现他们甚至在 MS 文档中被列为合法的第三方 MFA ADFS 提供商:https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-additional-authentication-methods-for-ad-fs
我的问题是,是否有人为 MS RRAS 和内置的 Windows VPN 客户端实施了 SecureMFA?Windows VPN 客户端是否支持 TOTP?例如,用户如何输入 6 位数代码?通常,应用程序或网页表单会提示用户输入 6 位数代码。
我实际上已经联系了供应商,但他们不确定 Windows 10 VPN 客户端是否支持 ADFS 协议。
答案1
您可以通过以下方式使用 Cisco DUO 进行设置:
用户名:[用户名] 密码:[密码],[6 位数字代码]
这称为附加方法,也适用于 OTP 用户名:[用户名] 密码:[密码],[硬件令牌的 OTP 代码]