Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Увеличьте тайм-аут Radius для реализации многфакторной аутентификации (MFA)., feature-request
 
#1
22.08.2019 21:55:00
Я настроил аутентификацию WPA Enterprise, которая отлично работает через Radius/Microsoft NPS. Но на самом деле мне хотелось бы, чтобы профиль Unifi Radius указывал на мой сервис Duo Radius Proxy, чтобы включить многофакторную аутентификацию (MFA) при подключении по Wi-Fi. Проблема в том, что запросы аутентификации тайм-аутятся раньше, чем успевает пройти вторичная аутентификация. Я использовал такой же сценарий с другими продуктами, где был редактируемый таймаут аутентификации Radius — можно было, например, выставить 60 секунд, что давало пользователю достаточно времени для завершения проверки.

Обсуждая это с представителем поддержки (Prescott K.), мне сказали, что функция в планах, но я должен оставить пост на форуме сообщества, чтобы кто-то из разработчиков мог сообщить примерные сроки внедрения.

Надеюсь, кто-то откликнется. Работающий MFA — ключевой фактор, который определит, сможем ли мы продавать это решение клиентам или нет.
 
 
 
#2
22.10.2019 11:27:00
@UI-teunis роуминг работает не полностью. Кроме того, приходится каждый раз ждать и подтверждать запрос MFA при входе в зону покрытия. Мне не удалось найти решение, которое бы сохраняло токен входа на разумный промежуток времени.
 
 
 
#3
21.10.2019 14:40:00
Что касается роуминга, всё зависит от того, насколько терпеливы клиенты... Но при этом FT сам по себе тоже снижает некоторые задержки, связанные с аутентификацией в роуминге. Должно работать нормально. Если нет — пишите! Спасибо!
 
 
 
#4
21.10.2019 08:07:00
@UI-teunis теперь всё работает! Большое спасибо. Пока что я тестирую MFA на одном точке доступа на тестовом сайте. В ближайшее время попробую на боевом сайте и оценю возможное влияние проблем с роумингом.
 
 
 
#5
18.10.2019 16:41:00
@Eradicator это было включено в версию 4.0.63 - https://community.ui.com/releases/UAP-USW-Firmware-4-0-63-10796/b8c24ff9-6f5f-4fd6-b767-03189c107c21
 
 
 
#6
18.10.2019 09:23:00
@UI-teunis, можно я попробую тестовую версию, которую ты отправил Мэтту?
 
 
 
#7
15.10.2019 15:18:00
@Eradicator, пожалуйста, не за что — могу найти кого-то другого, кто поможет проверить, если это поможет? Однако логи на стороне AP должны дать подсказки по проблеме — единственное точно подтверждённое, что я знаю, — это размер MTU. (Встречал рекомендации ставить 1344, 1024, 1400 и даже 512, но максимум — 1400). В остальном все другие проблемы, которые я видел, были связаны с сертификатами.
 
 
 
#8
15.10.2019 15:00:00
Да, возможно, это какая-то конкретная проблема с расширением Azure NPS, потому что без расширения всё работает отлично. В любом случае, спасибо.
 
 
 
#9
15.10.2019 14:51:00
Ой, я сам с NPS не работаю, но, может, кто-то другой сможет ответить на этот счёт. Однако нужно больше информации — возможно, проблема с сертификатом? MTU рекомендован, но у меня больше данных нет.
 
 
 
#10
15.10.2019 14:44:00
Я пробовал несколько значений ниже 1400, но без всякого успеха(
 
 
 
#11
15.10.2019 14:14:00
@Eradicator есть ещё одна проблема с сервером NPS, которую нужно учесть: Framed-MTU должен быть установлен не выше 1400. Если этого не сделать, могут возникнуть описанные выше проблемы.
 
 
 
#12
15.10.2019 10:49:00
Привет! Та же просьба о функции. Я пытаюсь реализовать MFA для WPA Enterprise WAN с использованием UAP-AC-PRO, Server 2019 NPS Radius и Azure MFA NPS Extension для обработки запросов MFA. После ввода учетных данных меня постоянно просят ввести их снова, хотя я подтверждаю запрос в приложении Authenticator. В журнале событий на сервере NPS появляется ошибка — «Network Policy Server отклонил запрос пользователя. Аутентификация не удалась из-за истечения времени сессии EAP; сессия EAP с клиентом доступа не была завершена.»
 
 
 
#13
26.09.2019 23:41:00
Отправил тестовую версию для стороны AP.
 
 
 
#14
16.09.2019 22:13:00
Отлично, спасибо за обновление. Жду с нетерпением, чтобы самому попробовать.
 
 
 
#15
16.09.2019 20:26:00
Я почти решил это в коде, осталось только проверить, что всё работает. Скоро будет тестовый релиз — по умолчанию будет использоваться расширенный ро́линговый фейлоувер, который раньше стоял по умолчанию, если используется только один radius аутентификационный сервер, с максимальным временем в 120 секунд. Настройка и конкретная конфигурация — это будет следующая доработка контроллера.
 
 
 
#16
06.09.2019 00:57:00
Звучит отлично. Еще раз спасибо за ваше внимание к этой функции!
 
 
 
#17
06.09.2019 00:33:00
Это будет настраиваться администратором. По умолчанию стоит текущее значение — примерно 1 секунда с учётом обработки rollover radius через очередь сервера и определённого количества попыток, прежде чем аутентификационный сервер будет отмечен как недоступный. Однако допускается увеличение до рекомендованного лимита radius — 120 секунд. Мне нужно проработать некоторые детали, но это даёт общее представление о том, какого рода интерфейс ожидать. Это также будет продвинутая функция — для неё есть отдельный флаг в настройках контроллера. Сами параметры можно будет менять в интерфейсе radius.
 
 
 
#18
06.09.2019 00:14:00
Привет, Teunis, спасибо, что ответил мне по этому вопросу. Я очень ценю, что вы рассматриваете возможность внедрения этой функции. Могу сказать, что Duo рекомендует установить тайм-аут Radius примерно в 60 секунд, чтобы у пользователя было достаточно времени ответить на push-уведомление MFA. Было бы возможно сделать это полем, где администратор сможет задать собственное количество секунд для тайм-аута Radius? Тогда админ смог бы найти баланс между временем ожидания и другими функциями, которые могут пострадать из-за увеличения этого значения.
 
 
 
#19
05.09.2019 23:30:00
Учётное время — 60 секунд, а аутентификация ужесточена. Это реально сделать, но с определёнными затратами. FT (роуминг) работать не будет ни в коем случае; и некоторые клиенты отключаются, если аутентификация занимает больше 10 секунд. Некоторые — даже если дольше 5 секунд. (особенно это касается мобильных клиентов). Тем не менее, это можно добавить.
 
 
 
Страницы: 1
Читают тему (гостей: 1)