Τεύχος
- Διαμόρφωση του ESET Secure Authentication (ESA) για χρήση με το τελικό σημείο ελέγχου ταυτότητας
- Ο πελάτης δεν επικυρώνει το όνομα χρήστη και τον κωδικό πρόσβασης
- Ο πελάτης επικυρώνει το όνομα χρήστη και τον κωδικό πρόσβασης
- Χρησιμοποιήστε τη λειτουργία Access-Challenge του RADIUS
- Ο πελάτης δεν επικυρώνει το όνομα χρήστη και τον κωδικό πρόσβασης - αποφύγετε την ένωση
- <deprecated>
- Δείγματα οδηγών ενσωμάτωσης
Λύση
Το ESA διακρίνει τρεις τύπους πελατών (για παράδειγμα, VPN) με βάση τον τρόπο με τον οποίο χειρίζονται τον έλεγχο ταυτότητας σε ένα περιβάλλον Active Directory (AD).
Ο πελάτης δεν επικυρώνει το όνομα χρήστη και τον κωδικό πρόσβασης
Όλα τα VPN θα πρέπει να υποστηρίζουν αυτό το σενάριο. Εάν ρυθμίσετε την επιλογή Client Type (Τύπος πελάτη) σε Client does not validate username and password (Πελάτης δεν επικυρώνει όνομα χρήστη και κωδικό πρόσβασης ) κατά τη διαμόρφωση ενός πελάτη RADIUS στην ESA Web Console, και οι δύο παράγοντες (όνομα χρήστη και κωδικός πρόσβασης ως πρώτος παράγοντας και OTP ως δεύτερος παράγοντας) επαληθεύονται από την ESA.
Απαιτήσεις
Διαμορφώστε τον έλεγχο ταυτότητας της σύνδεσής σας στο VPN ώστε να χρησιμοποιεί τον έλεγχο ταυτότητας RADIUS που δείχνει σε έναν διακομιστή RADIUS που έχετε διαμορφώσει στην ESA Web Console.
Πώς λειτουργεί
- OTPs με βάση SMS: Κατά την πρώτη προσπάθεια σύνδεσης, ο χρήστης καλείται να πληκτρολογήσει έναν κωδικό πρόσβασης. Η προσπάθεια σύνδεσης αποτυγχάνει, αλλά ο χρήστης λαμβάνει ένα OTP μέσω SMS. Κατά τη δεύτερη προσπάθεια σύνδεσης, ο χρήστης εισάγει το OTP που έλαβε στο πεδίο κωδικού πρόσβασης.
- Mobile Application OTPs / Hard Token OTPs - Οι χρήστες συνδέονται χρησιμοποιώντας ταυτόχρονα τον κωδικό πρόσβασης και το OTP τους ως passwordOTP.
- Mobile Application Push-Οι χρήστες προσπαθούν να συνδεθούν χρησιμοποιώντας τα διαπιστευτήρια σύνδεσής τους. Δημιουργείται μια ειδοποίηση push στην κινητή συσκευή του χρήστη. Η έγκριση της ειδοποίησης οδηγεί σε επιτυχή σύνδεση.
- Χρήστης χωρίς 2FA / χρήστης με λευκή λίστα: Οι χρήστες συνδέονται χρησιμοποιώντας τα διαπιστευτήρια σύνδεσής τους. Το ESA επικυρώνει τον κωδικό πρόσβασης.
Ο πελάτης επικυρώνει το όνομα χρήστη και τον κωδικό πρόσβασης
Βεβαιωθείτε ότι το VPN το υποστηρίζει και έχει ρυθμιστεί σωστά. Η λανθασμένη διαμόρφωση μπορεί να οδηγήσει στην παράλειψη της επαλήθευσης του κωδικού πρόσβασης. Εάν ορίσετε την επιλογή Client Type (Τύπος πελάτη) σε Client validates username and password (Ο πελάτης επικυρώνει όνομα χρήστη και κωδικό πρόσβασης ) κατά τη διαμόρφωση ενός πελάτη RADIUS στην κονσόλα ESA Web, τότε ο πρώτος παράγοντας (όνομα χρήστη και κωδικός πρόσβασης) επικυρώνεται από το AD.
Απαιτήσεις
Ρυθμίστε έναν έλεγχο ταυτότητας που δείχνει στο διακομιστή σας και έναν έλεγχο ταυτότητας RADIUS που δείχνει στο διακομιστή RADIUS της ESA.
Πώς λειτουργεί
- OTP με βάση SMS: Απαιτούνται δύο προσπάθειες σύνδεσης. Πρώτον, οι χρήστες εισάγουν τον κωδικό πρόσβασής τους στο πρώτο πεδίο κωδικού πρόσβασης και στη συνέχεια πληκτρολογούν
sms, χωρίς εισαγωγικά. Εάν δοθεί το σωστό όνομα χρήστη και κωδικός πρόσβασης, η οθόνη σύνδεσης θα εμφανιστεί ξανά χωρίς κανένα μήνυμα σφάλματος και ο χρήστης λαμβάνει ένα OTP μέσω SMS. Κατά τη δεύτερη προσπάθεια σύνδεσης, ο χρήστης εισάγει το OTP που έλαβε στο δεύτερο πεδίο κωδικού πρόσβασης.
- Mobile Application OTPs / Hard Token OTPs - Οι χρήστες εισάγουν το παραγόμενο OTP στο δεύτερο πεδίο κωδικού πρόσβασης.
- Mobile Application Push-Users enter "empty", "none" username or "push" without quotation marks into that field. Η ESA δημιουργεί μια ειδοποίηση push και περιμένει την έγκρισή της.
- Χρήστης χωρίς 2FA / χρήστης με λευκή λίστα: Οι χρήστες αφήνουν κενό το πεδίο του δεύτερου κωδικού πρόσβασης ή πληκτρολογούν "none" ή "push" χωρίς εισαγωγικά σε αυτό το πεδίο.
Χρήση της λειτουργίας Access-Challenge του RADIUS
Χρησιμοποιήστε αυτή την επιλογή εάν ο διακομιστής VPN επικοινωνεί μόνο με το ESA RADIUS για την επαλήθευση και των δύο παραγόντων (όνομα χρήστη και κωδικός πρόσβασης ως πρώτος παράγοντας και OTP ως δεύτερος παράγοντας), αλλά ο έλεγχος ταυτότητας αποτελείται από δύο βήματα.
Οι ακόλουθοι πελάτες RADIUS υποστηρίζουν τη λειτουργία RADIUS Access-Challenge:
- Junos Pulse (VPN)
- Μονάδα PAM του Linux
Οι ακόλουθοι πελάτες RADIUS δεν πρέπει να χρησιμοποιούνται με τη λειτουργία Access-Challenge:
- Microsoft RRAS
Απαιτήσεις
Διαμορφώστε τον έλεγχο ταυτότητας της σύνδεσής σας VPN ώστε να χρησιμοποιεί τον έλεγχο ταυτότητας RADIUS που δείχνει σε έναν διακομιστή RADIUS που έχετε διαμορφώσει στην ESA Web Console.
Πώς λειτουργεί
- Έλεγχος ταυτότητας μέσω SMS: Οι χρήστες συνδέονται χρησιμοποιώντας τα διαπιστευτήρια σύνδεσής τους, στην επόμενη οθόνη ή στον αναδυόμενο διάλογο εισάγουν το OTP που έλαβαν μέσω SMS.
- Mobile OTP / Hard Token: Οι χρήστες συνδέονται χρησιμοποιώντας τα διαπιστευτήρια σύνδεσής τους, στην επόμενη οθόνη ή στον αναδυόμενο διάλογο εισάγουν το παραγόμενο OTP.
- Push authentication: Οι χρήστες συνδέονται χρησιμοποιώντας τα διαπιστευτήρια σύνδεσής τους και εγκρίνουν τη δημιουργηθείσα ειδοποίηση push.
- Χρήστης χωρίς 2FA / χρήστης με λευκή λίστα: Οι χρήστες χρησιμοποιούν μόνο τα διαπιστευτήρια σύνδεσης.
Ο πελάτης δεν επικυρώνει το όνομα χρήστη και τον κωδικό πρόσβασης - αποφυγή σύνθετων
Απαιτήσεις
Ρυθμίστε τον έλεγχο ταυτότητας της σύνδεσής σας VPN ώστε να χρησιμοποιεί τον έλεγχο ταυτότητας RADIUS με σημείο αναφοράς έναν διακομιστή RADIUS που έχετε ρυθμίσει στην ESA Web Console.
Πώς λειτουργεί
- OTPs με SMS, Mobile Application Push-κατά την πρώτη προσπάθεια σύνδεσης, ο χρήστης καλείται να δώσει έναν κωδικό πρόσβασης. Η προσπάθεια σύνδεσης αποτυγχάνει, αλλά ο χρήστης λαμβάνει ένα OTP μέσω SMS. Κατά τη δεύτερη προσπάθεια σύνδεσης, ο χρήστης εισάγει το OTP που έλαβε στο πεδίο κωδικού πρόσβασης.
- Mobile Application OTPs / Hard Token OTPs - Οι χρήστες δεν χρειάζεται να εισάγουν τον κωδικό πρόσβασής τους, παρά μόνο το OTP. Για να μειώσετε τον κίνδυνο ασφάλειας, επιβάλλετε το PIN της εφαρμογής κινητής τηλεφωνίας:
- Στην ESA Web Console, μεταβείτε στην επιλογή Ρυθμίσεις > Εφαρμογή κινητής τηλεφωνίας.
- Ενεργοποιήστε την επιλογή Οι χρήστες πρέπει να χρησιμοποιούν κωδικό PIN.
- Κάντε κλικ στο κουμπί Αποθήκευση.
- Χρήστης χωρίς 2FA / χρήστης με λευκή λίστα: Οι χρήστες συνδέονται χρησιμοποιώντας τα διαπιστευτήρια σύνδεσής τους. Η ESA επικυρώνει τον κωδικό πρόσβασης.
<deprecated>
Στην έκδοση ESA 2.8 και σε προηγούμενες εκδόσεις, ο διαχειριστής μπορούσε να καταλήξει σε ασυνεπείς ρυθμίσεις του τύπου πελάτη δεν επικυρώνει όνομα χρήστη και κωδικό πρόσβασης και του τύπου πελάτη επικυρώνει όνομα χρήστη και κωδικό πρόσβασης. Στην ESA 3.0, οι εν λόγω ρυθμισμένοι τύποι πελατών επισημαίνονται ως<deprecated>. Συνιστούμε τη χρήση της αντίστοιχης μη καταργημένης έκδοσης αυτών των τύπων πελάτη.Δείγματα οδηγών ενσωμάτωσης
Κάντε κλικ στον κατάλληλο σύνδεσμο παρακάτω για να προβάλετε τον οδηγό ενσωμάτωσης ESET Secure Authentication για τη διαμόρφωσή σας. Οι οδηγοί ενσωμάτωσης έχουν σχεδιαστεί για να χρησιμοποιούνται σε συνδυασμό με το έγγραφο ESET Secure Authentication Verifying ESA RADIUS functionality. Σημειώστε ότι ορισμένοι από τους οδηγούς ενδέχεται να είναι ξεπερασμένοι και χρησιμεύουν ως δείγμα. Για έναν ενημερωμένο οδηγό ενσωμάτωσης, συμβουλευτείτε τον προμηθευτή της συσκευής VPN σας όσον αφορά τους υποστηριζόμενους τύπους Πελάτη που περιγράφονται παραπάνω.
Τελικά σημεία VPN, τείχους προστασίας και UTM:
- Barracuda
- Check Point Software
- Cisco ASA IPsec
- Cisco ASA SSL
- Citrix Access Gateway
- Citrix Netscaler
- Cyberoam
- Fortinet Fortigate
- Microsoft Forefront Threat Management Gateway
- Netasq
Τελικά σημεία cloud και VDI
Εκτός από τους οδηγούς ενσωμάτωσης ανά εφαρμογή, σας συνιστούμε να διαβάσετε επίσης την ηλεκτρονική βοήθεια ESET Secure Authentication κατά την εφαρμογή του ESET Secure Authentication. Εάν σκοπεύετε να προσθέσετε το ESET Secure Authentication σε μια υπάρχουσα εφαρμογή χρησιμοποιώντας το ESET Secure Authentication API, είναι επίσης διαθέσιμα τα έγγραφα ESET Secure Authentication API User Guide και ESET Secure Authentication SSL Certificate Replacement.
