Configurer une authentification par mot de passe à usage unique (OTP)

Cette section explique comment configurer une authentification par mot de passe à usage unique (OTP ou TOTP) pour établir des tunnels VPN SSL avec le firewall SNS.

Informations générales sur l'authentification OTP

L'authentification OTP permet de renforcer l'authentification des utilisateurs établissant des tunnels VPN SSL grâce à un second facteur d'authentification.

Ce second facteur est un code à usage unique, appelé code OTP ou TOTP, que l'utilisateur doit renseigner en plus de son mot de passe pour établir le tunnel VPN SSL. Stormshield dispose de sa propre solution d'authentification OTP.

Il est également possible d'utiliser une solution tierce avec un serveur RADIUS. Par exemple, la solution Trustbuilder (anciennement inWebo) est compatible et permet aux utilisateurs de générer des codes OTP ou d'approuver l'établissement d'une connexion (notification push) dans une application installée sur un appareil de confiance.

Configurer la solution d'authentification OTP choisie

Solution TOTP Stormshield

Reportez-vous à la note technique Configurer et utiliser la solution TOTP Stormshield qui présente la configuration et la gestion de la solution TOTP sur le firewall SNS, ainsi que la procédure d'enrôlement des utilisateurs à la solution TOTP.

Solution OTP tierce avec un serveur RADIUS

Vous devez configurer la solution d’authentification OTP tierce choisie et la connecter à votre serveur RADIUS. Si vous avez besoin d’aide pour cette configuration, reportez-vous à la documentation de la solution choisie.

Sur le firewall SNS, vous devez :

  • Activer et configurer la méthode RADIUS pour connecter votre firewall SNS à votre serveur RADIUS. Pour cela, rendez-vous dans Configuration > Utilisateurs > Authentification, onglet Méthodes disponibles. Pour plus d'informations, reportez-vous à la section Authentification > Onglet Méthodes disponibles > RADIUS du manuel utilisateur v4 ou du manuel utilisateur v5 selon la version SNS utilisée.

  • Augmenter le temps de réponse maximal des requêtes RADIUS si la solution choisie requiert que les utilisateurs approuvent l'établissement de leurs tunnels VPN SSL dans une application. Par défaut, le temps de réponse maximal est de 3 secondes. Pour l'augmenter, par exemple à 30 secondes, utilisez les commandes CLI / Serverd suivantes :

    CONFIG AUTH RADIUS timeout=30000 btimeout=30000
    CONFIG AUTH ACTIVATE

Établir un tunnel VPN SSL en utilisant une authentification OTP

Dans le menu Connexions enregistrées

Vous devez au préalable avoir coché la case Utiliser un code OTP dans les informations de la connexion enregistrée.

  1. Cliquez sur Se connecter dans le cadre de la connexion concernée.

  2. Complétez les champs Mot de passe et Code OTP selon que votre solution d'authentification requiert un mot de passe et / ou un code OTP.

    Les combinaisons suivantes sont possibles :

    Champ Mot de passe Champ Code OTP

    Champ complété (*)

    Champ complété

    Champ vide

    Champ complété

    Champ vide

    Champ vide

    (*) Le champ Mot de passe ne s'affiche pas s'il a été enregistré dans les informations de la connexion enregistrée.

    Écran montrant la fenêtre de connexion du menu Connexions enregistrées du client VPN SSL Stormshield v5. La case Utiliser un code OTP est cochée.

  3. Cliquez sur Se connecter.

  4. Si votre solution d'authentification requiert d'approuver l'établissement du tunnel VPN SSL dans une application (champs Mot de passe et Code OTP vides), une notification push est envoyée sur votre appareil de confiance. Ouvrez votre application et approuvez l'établissement du tunnel VPN SSL.

  5. Patientez pendant que le client VPN SSL Stormshield établisse le tunnel VPN SSL.

Dans le menu Connexion directe

  1. Sélectionnez le mode de connexion. Si besoin, reportez-vous à la section Description des modes de connexion et des champs disponibles du Guide de configuration et d'utilisation du client VPN SSL Stormshield.
  2. Cochez la case Utiliser un code OTP.

  3. Complétez les champs Mot de passe et Code OTP selon que votre solution d'authentification requiert un mot de passe et / ou un code OTP.

    Les combinaisons suivantes sont possibles :

    Champ Mot de passe Champ Code OTP

    Champ complété

    Champ complété

    Champ vide

    Champ complété

    Champ vide

    Champ vide

    Écran montrant la fenêtre de connexion du menu Connexion directe du client VPN SSL Stormshield v5. La case Utiliser un code OTP est cochée.

  4. Cliquez sur Se connecter.

  5. Si votre solution d'authentification requiert d'approuver l'établissement du tunnel VPN SSL dans une application (champs Mot de passe et Code OTP vides), une notification push est envoyée sur votre appareil de confiance. Ouvrez votre application et approuvez l'établissement du tunnel VPN SSL.

  6. Patientez pendant que le client VPN SSL Stormshield établisse le tunnel VPN SSL.