UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Authentification multifacteur > Comment appliquer la MFA au VPN

Comment appliquer la MFA au VPN

Pré-requis

  • Un serveur NPS (Network Policy Server) avec le dernier agent NPS UserLock installé (au moins la version 10.2)
  • Connexions VPN gérées par le service routage et accès distant Microsoft (RRAS)

Pour activer la MFA pour les connexions VPN, ces utilisateurs doivent:

  • appartenir à un groupe Active Directory prédéfini
  • appartenir à un compte protégé auquel la MFA a été appliquée
  • s’être déjà connecté au réseau à l'aide de la MFA

REMARQUE:
Actuellement, il n'existe pas de méthode directe pour activer la MFA uniquement pour les sessions VPN. Si la MFA est activée pour un utilisateur, elle sera activée pour les sessions VPN et interactives; il n'est pas possible de distinguer les deux méthodes.

Il est recommandé d'ajouter les utilisateurs de façon graduelle dans la mesure où chaque utilisateur devra vérifier l'authentification dans la configuration de son VPN.

MFA pour VPN utilisant MSCHAP-v2 en entrant le code MFA dans le champ du nom d'utilisateur

Configuration

  1. Sur le serveur NPS, assurez-vous qu'une stratégie valide et active est en place et accorde un accès VPN aux utilisateurs requis.

  2. Dans la section «Conditions», ajoutez le groupe Windows Active Directory auquel appartiennent les utilisateurs VPN autorisés

  3. Afin de vous connecter au niveau client, assurez-vous que:

    • Le type de connexion VPN est défini sur «Automatique»
    • La méthode d'authentification MS-CHAP v2 est sélectionnée

MFA pour les connexions VPN pour les utilisateurs finaux

Lorsqu'un utilisateur avec la MFA activée se connecte à une session VPN, il devra saisir le code MFA lors de la saisie de son nom d'utilisateur et de son mot de passe.

L'utilisateur devra saisir le code MFA affiché dans l'application d'authentification ou le jeton programmable dans le champ du nom d'utilisateur, en utilisant le format:

Nom d'utilisateur : <Domaine>\<nom d'utilisateur>,<Code MFA>

Pour les utilisateurs YubiKey, ils devront taper la virgule, puis appuyer sur la YubiKey pour entrer le code.

Dans l'exemple ci-dessous, voici les exigences pour un utilisateur type
Domaine = VDE
Nom d'utilisateur = Bob
Code MFA = 123456

REMARQUE :
Dans le champ utilisateur, une virgule «,» est requise pour séparer le nom d'utilisateur et le code MFA.
Étant donné que le code MFA change périodiquement, il est recommandé de saisir le mot de passe en premier, puis de revenir au champ précédent afin que le code MFA soit entré en dernier.

Méthode alternative utilisant l’authentification PAP en entrant le code MFA dans le champ du mot de passe

Il est possible d'utiliser le protocole d'authentification par mot de passe (PAP) afin d'utiliser VPN/MFA.
Cette méthode est moins sécurisée et n'est pas recommandée.

Configuration

  1. Sur le serveur NPS, assurez-vous que la méthode d'authentification non chiffrée est sélectionnée uniquement (PAP, SPAP)

  2. Au niveau du serveur de routage et d'accès distant, assurez-vous qu’une clé prépartagée a été configurée pour les connexions L2TP:

  3. Assurez-vous que la méthode d’authentification par mot de passe non chiffré (PAP) est sélectionnée

  4. Au niveau du client VPN:

    • Le type de connexion VPN est défini sur L2TP avec IPSec
    • Entrez la clé secrète pré-partagée qui a été préconfigurée dans RRAS
    • Définissez la méthode d'authentification sur PAP

MFA pour les connexions VPN pour les utilisateurs finaux

Lorsqu'un utilisateur avec la MFA activée se connecte à une session VPN, il devra saisir le code MFA lors de la saisie de son nom d'utilisateur et de son mot de passe.

L'utilisateur devra saisir le code MFA affiché dans l'application d'authentification dans le champ du mot de passe, après le mot de passe, séparé par une virgule «,». Pour les utilisateurs de YubiKey, ils devront taper la virgule, puis appuyer sur la YubiKey pour entrer le code.

Dans le champ du nom d'utilisateur: <Domaine>\<nom d'utilisateur>
Dans le champ du mot de passe: <mot de passe>,<Code MFA>

Dans l'exemple ci-dessous, voici les exigences pour un utilisateur type
Domaine = VDE
Nom d'utilisateur = Bob
Mot de passe = password
Code MFA = 123456

Limites

Pour le moment, il n'est pas possible de séparer MFA pour les sessions interactives et les sessions VPN.

Une fois que vous avez configuré la MFA pour les sessions VPN, les utilisateurs seront invités à entrer leurs informations d'identification lors de l'accès aux dossiers partagés via VPN.

Pour contourner ce problème, il est possible d'éviter cette invite si la machine client est membre d'Active Directory en effectuant la procédure suivante:

Sur la machine hôte utilisée pour la connexion VPN , accédez à l'emplacement suivant:

"%USERPROFILE%\AppData\Roaming\Microsoft\Network\Connections\Pbk"

Modifiez le fichier «rasphone.pbk»

Pour la section relative à la connexion VPN utilisée, assurez-vous que la valeur suivante est définie:
UseRasCredentials=0