在 Flex 500 使用 Windows AD 認證使用者 + 使用 Google Authenticator 做 SSl VPN 登入認證
您好:
目前使用 Flex 500 (韌體版本:V5.37(ABUJ.1)),需求是要在 Flex 500 使用 Windows AD 認證使用者 + 使用 Google Authenticator 做 SSl VPN 登入認證,若不啟用 2FA 認證,可正常使用 SSLVPN 登入。
在啟用 2FA 後,AD 使用者會收到來自 Zyxel Flex 500 寄出的信件,但點選 "AUTHORIZE" 後卻無法出現要輸入認證數字的畫面,而導致在三分鐘後 SSLVPN 斷線。
是否 SSLVPN 使用 Windows AD 認證無法使用 2FA 認證呢 ?
All Replies
-
您好:
謝謝 !
我改用內部 IP 後 AUTHORIZE 就可以了,但還是無法使用 Google Authentication 做 2FA/MFA 認證,有查看文件說明只有在 Local User 才支援 Google Authenticator,是否如此呢 ?!
0 -
@Peter_EO 您好,是的AD-USER 無法使用 Google Authentication 做 2FA/MFA 認證。
0 -
您好:
已經設定且測試正常了,但客戶有另一個需求,就是要使用 SSLVPN Full Tunnel,但這時候產生一個矛盾狀況:
當使用者使用 Windows AD 帳號密碼通過認證也取得 SSLVPN 派發的 IP,Flex500 也發出 AUTHORIZE 信件給使用者,但這時因為是啟用 SSL Full Tunnel Mode,導致所有流量都指向 Flex 500 ,但此流量還沒有得到 授權,因此連帶的讓使用者無法連上 Internet 也無法連到單位的 Mail Server 收信,而導致 SSLVPN 無法連線。
請問此問題該如何處理呢 ?
0 -
您好:
考量到前端使用者的配備可能只有一部筆電的情形時,是否表示在使用 SSLVPN Full Tunnel Mode 時, 就無法搭配 2FA 方式做認證 ?!
0 -
您好:
在 Split-Tunnel Mode 下使用 Email 做 2FA 已確認可行且網路連線正常,如果客戶只有一部筆電上網,在啟用 SSLVPN Full tunnel Mode 後因為流量全部被導向到 Firewall ,導致筆電也無法上網收發來自 Flex500 寄出的 Authorize 信件,因此 2FA 認證無法完成,導致 SSLVPN 無法連線成功。
我的問題是:在 SSLVPN 使用 Full Tunnel mode 並整合 Windows AD 認證,要如何完成 2FA 認證讓 SSLVPN 連線成功 ? 因為客戶要求 SSLVPN 連線後的流量進出代表的 IP 位址必須是 Firewall WAN 端 IP (類似目前網際網路上的 Surfshark VPN 之類的應用),但客戶只有一部筆電可用,沒有其他裝置可以連到外部網路收取 2FA 認證信件。
此問題因為是客戶環境需求,無法使用其他第二台裝置收發信件。
0
Zyxel Employee
