Olá,
Só procurando por alguma orientação, atualmente estou usando watchguard sslvpn com MFA via Entra e a extensão MFA NPS,
Tenho um grupo principal que passa pelas regras do NPS. O problema é que todos conseguem acesso ao grupo de usuários principal do sslvpn (qualquer) devido a uma configuração antiga, a regra do VPN é uma regra qualquer.
Gostaria de limitar algumas pessoas para que só possam acessar um IP uma vez na VPN.. mas quando faço uma regra ela é ignorada mesmo se a prioridade estiver acima da regra Any. Acredito que seja por causa da configuração do NPS.
Então criei um novo grupo, configurei no servidor NPS e, como eles estão na segunda posição no NPS, são simplesmente rejeitados, se eu mover para a primeira posição, qualquer um do grupo principal é rejeitado.
Além de criar um segundo servidor NPS e uma segunda autenticação SSLVPN no Watchguard, não consigo pensar em outra solução.
Alguém já teve uma configuração parecida onde você usa grupos separados usando Azure para MFA e regras de acesso diferentes?
Obrigado
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/mvpn/ssl/mvpn_ssl_policies.html > A seção de melhores práticas cobre esse caso de uso
Edit: Basicamente, você precisa autenticar os usuários no firebox em grupos não padrão, depois remover a política de acesso padrão e substituí-la por outras políticas para os outros grupos.
Também verifique sua configuração do NPS, pois há uma questão muito importante com Entra ID NPS MFA e atributos extras (como filter-id) usados para associações de grupo em Fireboxes
https://learn.microsoft.com/en-us/entra/identity/authentication/howto-mfa-nps-extension
"Independentemente do protocolo de autenticação usado (PAP, CHAP ou EAP), se seu método MFA for baseado em texto (SMS, verificação via app móvel ou token de hardware OATH) e exigir que o usuário insira um código ou texto na interface do cliente VPN, a autenticação pode ser bem-sucedida. Mas atributos RADIUS configurados na Política de Acesso à Rede não são encaminhados ao cliente RADIUS (o dispositivo de acesso à rede, como o gateway VPN). Como resultado, o cliente VPN pode ter mais acesso do que deseja ou menos ou nenhum acesso.
Como solução alternativa, você pode usar o script CrpUsernameStuffing para encaminhar atributos RADIUS configurados na Política de Acesso à Rede e permitir MFA quando o método de autenticação do usuário requer o uso de um Passcode de Uso Único (OTP), como SMS, um código do Microsoft Authenticator ou um fob de hardware."
Alguma dúvida aqui > os usuários estão sendo rejeitados pelo Firebox ou pelo NPS nesse caso?