双因素认证:又被称为两步认证或者双因子认证(2FA),是一种安全验证过程。就是使用2种认证方式组合到一起才能发挥作用的身份认证系统。

背景:用户使用APM本地认证和AD域用户认证结合在一起验证用户身份信息。

1. 创建Connectivity Profile

在 Access ›› Connectivity / VPN : Connectivity : Profiles 中新建Connectivity Profile,如下图所示:

image-20210809143259985.png

2. 配置 IPV4 Lease Pools

在 Access ›› Connectivity / VPN : Network Access (VPN) : IPV4 Lease Pools 路径配置 VPN 内部分配的地址段。如下图所示:

image-20210813104029822.png

3. 配置 Network Access Policy

在 Access ›› Connectivity / VPN : Network Access (VPN) : Network Access Lists 中创建 Network Access Policy 。如下图所示:

image-20210813104211843.png

创建完成后进入创建好的 Network Access Policy network_access 中,在Network Settings 中选择 IPV4 Lease Pool 为第一步创建好的 vpn_ip。如下图所示:

image-20210813104419721.png

在 DNS/Hosts 中配置 IPV4 Primary Name Server 为 DNS 服务器地址。如下图所示:

image-20210813104557391.png

4. 配置 Webtop

在 Access ›› Webtops : Webtop Lists 中新建 webtop ,如下图所示:

image-20210813104741634.png

5. 创建本地认证实例

在 Access ›› Authentication : Local User DB : Instances 中创建本地数据库 ,如下图所示:

image-20210811141457525.png

6. 配置APM本地认证用户信息

在 Access ›› Authentication : Local User DB : Users 中创建本地认证用户信息。如下图所示:

image-20210814120251169.png

7. 在 AD 域上配置 AD 域认证用户

在 AD 域上配置用户,并填写密码。

image-20210814121711034.png

8. 配置 AD域服务器

image-20210815012155545.png

9. 配置 VPN Policy

(1) 创建 VPN Policy

在 Access ›› Profiles / Policies : Access Profiles (Per-Session Policies) 中 创建 VPN Policy ,如下图所示:

image-20210815012846354.png

image-20210813110200338.png

(2) 编辑 VPN Policy

在 Access ›› Profiles / Policies : Access Profiles (Per-Session Policies) 中 选中上一步创建的 VPN Policy 进入, 选择 Access Policy ,点击 Edit Access Policy for Profile “Network_Access_VPE” 开始编辑策略。如下图所示:

image-20210815013132344.png

进入后VPE如下所示,点击 + 开始进行配置。

image-20210815013206952.png

a. 创建Logon Page

在 Start 步骤后配置登录页,选择 在最上面导航栏选择 Logon 点击下面Logon Page,再点击Add Item。如下图所示:

image-20210811143458880.png

b. 配置 Logon Page

配置 Logon Page ,配置LocalDB认证密码和AD认证密码,如下图所示:

image-20210815013418774.png

配置完VPE如下所示:

image-20210815013604325.png

c. 配置本地认证

image-20210815013633862.png

LocalDB Instance 选择我们之前创建好的LOCAL_DB。

image-20210815013706349.png

配置完VPE如下所示:

image-20210815013827368.png

d. 配置传递变量

把AD域用户的用户名和密码传递给AD进行验证。在Assignment下选择Variable Assign,点击Add Item。

image-20210815013921263.png

配置传递用户名

image-20210815020133892.png

同理,配置传递密码,注意传递的密码是AD域用户的密码,也就是我们Logon界面中配置的passward。

image-20210815020331953.png

e. 配置AD域认证

如下图所示: 选择 Authentication 下面的 AD Auth 点击 Add Item。

image-20210815020617690.png

在Server选择我们之前配置的AD_AUTH。

image-20210815020651410.png

f. 资源分配

如果通过了本地认证和AD域双重认证,则为其登陆用户分配资源,选择 Assignment 下面的 Advanced Resource Assign 点击Add Item。

image-20210815020727770.png

分配 Network_access 和 mywebtop 资源。

image-20210815020808808.png

g. 完成VPE配置

配置通过认证后规则为Allow,并点击左上角Apply Access Ploicy应用策略。

image-20210815020853554.png

10. 创建80端口VS(可选),使其重定向到443端口VS。

image-20210806144008058.png

image-20210806144038146.png

11. 创建443端口vs,关联 APM profile。

image-20210813111647936.png

image-20210813111718711.png

image-20210815200643391.png

12. 测试

访问 http://192.168.10.92 进行登陆测试。输入用户名,本地认证密码和AD域认证密码。

image-20210815194847777.png

登陆后允许打开F5插件。

image-20210815195059057.png

由于证书是自签发的,所以会弹出安全警报,在这里点击是,如果不想弹出安全警报,可以去相关机构申请SSL证书。

image-20210815195124720.png

由于证书是自签发的,所以会弹出安全警报,在这里点击是,如果不想弹出安全警报,可以去相关机构申请SSL证书。

image-20210815195153951.png

如下所示:我们就连接到了内网环境中。

image-20210815195217468.png