Introduction
L'utilisation de la double authentification ou MFA permet de sécuriser les accès aux réseaux de l'entreprise.
Ce mécanisme nécessite, comme son nom l'indique, 2 méthodes d'authentification. Elles seront nécessaires à chaque connexion du client VPN.
Méthode 1 : nom d'utilisateur + mot de passe habituel
Méthode 2 : Code généré aléatoirement par une application présente sur votre smartphone
Prérequis
Vous devez être équipé d'un smartphone ainsi que d'une application permettant la génération d'un mot de passe à usage unique basé sur le temps (TOTP, Time based One Time Password en anglais).
Différentes applications existent, comme par exemple :
- Microsoft Authenticator
- Google Authenticator
- FreeOTP Authenticator
L'exemple ici utilise ici "Microsoft Authenticator" mais le principe est strictement le même pour les autres applications.
Première connexion
Lancer l'application "Microsoft Authenticator" sur votre smartphone.
Établir comme d'habitude une première connexion VPN via le client Netextender.
Saisir vos identifiants habituels puis cliquer sur "Connect".
Voici le message qui s'affiche à la première connexion
Il va falloir se connecter au portail Sonicwall pour générer un QR code qui devra être scanné par l'application d'authentification précédemment installé sur votre smartphone.
Aller via votre navigateur sur l'adresse du serveur VPN habituel suivi du port n°4433
Exemple : https://vpn.masociete.com:4433
Il est possible que vous arriviez sur cette page, il suffit de cliquer sur "Paramètres avancés"
Et cliquer sur "Continuer vers le site ...."
Identifiez-vous à nouveau puis cliquer sur "LOG IN".
Une page s'affiche avec un QR code, laisser-le affiché à l'écran.
Lancer l'application sur votre smartphone.
Cliquer sur le "+" en haut à droite pour ajouter un nouveau code.
Sélectionner "Autre compte (Google, Facebook, etc.)".
Orienter le téléphone vers le QR code affiché précédemment
Le compte est ajouté dans "Microsoft Authenticator", un code à 6 chiffres est désormais accessible à n'importe quel moment, il change régulièrement.
Retourner sur la page sur laquelle est affiché le QR code et saisir le code à 6 chiffres du smartphone.
Valider en cliquant sur "OK".
L'inscription est terminée, cliquer sur "Continue".
La page web peut être définitivement fermée.
Reconnectez-vous via le client Netextender
Vous aurez désormais l'obligation de rentrer le code à 6 chiffres affiché sur votre smartphone.
Cliquer ensuite sur "OK".
Vous êtes connecté.
Unbind TOTP
Si l'utilisateur change d'appareil mobile ou souhaite reconfigurer la double authentification il est nécessaire de dé-associer le token actuel.
Pour cela, sur l'interface d'admin du Sonicwall, aller dans "