# Radius

МФА Radius - метод двухфакторной аутентификации, при котором пользователь получит верификационный код от сервера Radius.

Для создания МФА Radius перейдите в раздел "Аутентификация" > "МФА", нажмите "Новый" и выберите тип "Radius OTP".

## Основные настройки <a href="#main" id="main"></a>

<figure><img src="https://2603182569-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-M6-oafU4c2bTrhoNggH%2Fuploads%2FXWSv3hYIzfXTGHwy51sv%2FRadiusMFA.png?alt=media&#x26;token=4c78c1ad-30b4-4487-a6a0-09d0104ea2f8" alt=""><figcaption></figcaption></figure>

**Имя** - наименование создаваемого МФА для отображения в системе.

**Хост** - IP-адрес или FQDN сервера Radius.

**Порт** - порт аутентификации Radius (по умолчанию 1812).

**Секрет** -  секретный пароль клиента Radius, который используется для аутентификации.

**Все пользователи должны отправлять OTP** - если отключено, добавляется этап проверки необходимости OTP для конкретного пользователя.

**Идентификатор NAS** - идентификатор NAS для Radius Server.

**Кэширование устройства** - время кэширования устройства (в часах), в течение которого МФА повторно не требуется. Привязывается к пользователю.

**Срок действия МФА** - время в минутах, в течение которого можно использовать код МФА.

## Конфигурация <a href="#config" id="config"></a>

<figure><img src="https://2603182569-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-M6-oafU4c2bTrhoNggH%2Fuploads%2FyYue7y8z0o8svaK1b13N%2FMFAROTP2.png?alt=media&#x26;token=f9bbeb1c-f94a-40d0-bbd2-28da08d764dd" alt=""><figcaption></figcaption></figure>

**Действия при ошибке связи Radius OTP**:

* **Allow user login** - разрешить доступ пользователю;
* **Deny user login** - отказать в доступе пользователю;
* **Allow user to login if their IP is in the network list** - разрешить доступ пользователей, если их IP есть в списке сетей;
* **Deny user to login if their IP is in the network list** - запретить доступ пользователей, если их IP есть в списке сетей.

**Radius comms OTP networks** - список сетей для аутентификации через Radius OTP.

**Сети Radius OTP** - у пользователей из данных сетей не будет запрашиваться одноразовый пароль.

**Действия для пользователя без заданного OTP на сервере**:

* **Allow user login** - разрешить доступ пользователю;
* **Deny user login** - отказать в доступе пользователю;
* **Allow user to login if their IP is in the network list** - разрешить доступ пользователей, если их IP есть в списке сетей;
* **Deny user to login if their IP is in the network list** - запретить доступ пользователей, если их IP есть в списке сетей.

**Send only username (without domain) to radius server** - если включено, доменная часть в имени пользователя будет удалена перед отправкой Radius серверу.

После внесения необходимых настроек нажмите **"Сохранить"**.