Издание
- Конфигуриране на ESET Secure Authentication (ESA) за използване с вашата крайна точка за удостоверяване
- Клиентът не потвърждава потребителското име и паролата
- Клиентът потвърждава потребителското име и паролата
- Използвайте функцията Access-Challenge на RADIUS
- Клиентът не потвърждава потребителското име и паролата - избягвайте съединението
- <deprecated>
- Примерни ръководства за интеграция
Решение
ESA разграничава три типа клиенти (например VPN мрежи) въз основа на начина, по който те се справят с удостоверяването в среда на Active Directory (AD).
Клиентът не потвърждава потребителско име и парола
Всички VPN услуги трябва да поддържат този сценарий. Ако зададете Client Type (Тип клиент) на Client does not validate username and password (Клиентът не потвърждава потребителско име и парола ) при конфигурирането на RADIUS клиент в уеб конзолата на ESA, двата фактора (потребителско име и парола като първи фактор и OTP като втори фактор) се проверяват от ESA.
Изисквания
Конфигурирайте удостоверяването на вашата VPN връзка да използва RADIUS удостоверяване, насочено към RADIUS сървър, който сте конфигурирали в ESA Web Console.
Как работи това?
- SMS-базирани OTP - При първия опит за влизане в системата потребителят се подканва да въведе парола. Опитът за влизане е неуспешен, но потребителят получава OTP чрез SMS. При втория опит за влизане потребителят въвежда получения OTP в полето за парола.
- OTP за мобилни приложения / Hard Token OTPs - Потребителите влизат в системата, като използват едновременно паролата си и OTP като passwordOTP.
- Мобилно приложение Push-Users attempt to log in using their login credentials (Потребителите се опитват да влязат в системата, като използват своите данни за вход). На мобилното устройство на потребителя се генерира известие за натискане. Одобряването на известието води до успешно влизане.
- Потребител без 2FA / потребител в бял списък: Потребителите влизат в системата, като използват своите идентификационни данни за вход. ESA потвърждава паролата.
Клиентът потвърждава потребителското име и паролата
Уверете се, че VPN услугата поддържа това и е конфигурирана правилно. Неправилната конфигурация може да доведе до пропускане на проверката на паролата. Ако зададете Client Type (Тип на клиента) на Client validates username and password (Клиентът потвърждава потребителското име и паролата ), когато конфигурирате RADIUS клиент в уеб конзолата на ESA, тогава първият фактор (потребителско име и парола) се потвърждава от AD.
Изисквания
Настройте едно удостоверяване, насочено към вашия сървър, и едно RADIUS удостоверяване, насочено към ESA RADIUS сървъра.
Как работи това?
- SMS-базирани OTP - изискват се два опита за влизане в системата. Първо, потребителите въвеждат паролата си в първото поле за парола, след което въвеждат
sms, без кавички. Ако са въведени правилните потребителско име и парола, екранът за влизане ще се покаже отново без съобщение за грешка и потребителят ще получи OTP чрез SMS. При втория опит за влизане потребителят въвежда получения OTP във второто поле за парола.
- OTP за мобилни приложения / Hard Token OTP - Потребителят въвежда генерирания OTP в полето за втора парола.
- Mobile Application Push-Users (Мобилно приложение с натискане)-Потребителите въвеждат "empty" (празно), "none" (няма) потребителско име или "push" (натискане) без кавички в това поле. ESA генерира известие за натискане и изчаква неговото одобрение.
- Потребител без 2FA / потребител в бял списък: Потребителите оставят полето за втора парола празно или въвеждат "none" или "push" без кавички в това поле.
Използване на функцията Access-Challenge (Предизвикване на достъп) на RADIUS
Използвайте тази опция, ако вашият VPN сървър се свързва само с ESA RADIUS за проверка на двата фактора (потребителско име и парола като първи фактор и OTP като втори фактор), но удостоверяването се състои от две стъпки.
Следните клиенти на RADIUS поддържат функцията RADIUS Access-Challenge (Предизвикване на достъпа):
- Junos Pulse (VPN)
- Модул PAM за Linux
Следните клиенти RADIUS не трябва да се използват с функцията Access-Challenge:
- Microsoft RRAS
Изисквания
Конфигурирайте удостоверяването на вашата VPN връзка да използва RADIUS удостоверяване, насочено към RADIUS сървър, който сте конфигурирали в ESA Web Console.
Как работи това?
- Удостоверяване чрез SMS: В следващия екран или изскачащ диалогов прозорец потребителите въвеждат OTP, получено чрез SMS.
- Мобилен OTP / твърд токен: Потребителите влизат в системата, като използват данните си за вход, а в следващия екран или изскачащ диалогов прозорец въвеждат генерирания OTP.
- Удостоверяване чрез натискане: Потребителите влизат в системата, като използват своите идентификационни данни за вход, и одобряват генерираното известие за натискане.
- Потребител без 2FA / потребител в бял списък: Потребителите използват само идентификационните данни за вход.
Клиентът не потвърждава потребителското име и паролата - избягвайте съединението
Изисквания
Конфигурирайте удостоверяването на вашата VPN връзка да използва RADIUS удостоверяване, насочено към RADIUS сървър, който сте конфигурирали в ESA Web Console.
Как работи това?
- SMS-базирани OTP, Push за мобилни приложения - При първия опит за влизане в системата потребителят се подканва да въведе парола. Опитът за влизане е неуспешен, но потребителят получава OTP чрез SMS. При втория опит за влизане потребителят въвежда получения OTP в полето за парола.
- OTP за мобилни приложения / Hard Token OTP - Потребителите не трябва да въвеждат паролата си, а само OTP. За да намалите риска за сигурността, наложете ПИН на мобилното приложение:
- В уеб конзолата на ESA отидете на Settings (Настройки) > Mobile Application (Мобилно приложение).
- Включете опцията Users Must Use a PIN Code (Потребителите трябва да използват ПИН код).
- Щракнете върху Запазване.
- Потребител без 2FA / потребител в бял списък: Потребителите влизат в системата, като използват своите идентификационни данни за вход. ESA валидира паролата.
<депресирана>
Във версия 2.8 и по-ранни версии на ESA администраторът можеше да се окаже с непоследователни настройки на Client does not validate username and password (Клиентът не валидира потребителско име и парола ) и Client validates username and password client type ( Клиентът валидира потребителско име и парола ). В ESA 3.0 такива конфигурирани клиентски типове са обозначени като<deprecated>. Препоръчваме ви да използвате съответната незагубена версия на такива клиентски типове.Примерни ръководства за интеграция
Щракнете върху съответната връзка по-долу, за да видите ръководството за интеграция на ESET Secure Authentication за вашата конфигурация. Ръководствата за интегриране са предназначени да се използват в комбинация с документа ESET Secure Authentication Verifying ESA RADIUS functionality. Обърнете внимание, че някои от ръководствата може да са остарели и да служат като образец. За актуално ръководство за интеграция се консултирайте с доставчика на Вашето VPN устройство по отношение на поддържаните типове клиенти, описани по-горе.
VPN, защитна стена и UTM крайни точки:
- Barracuda
- Check Point Software
- Cisco ASA IPsec
- Cisco ASA SSL
- Citrix Access Gateway
- Citrix Netscaler
- Cyberoam
- Fortinet Fortigate
- Microsoft Forefront Threat Management Gateway
- Netasq
Крайни точки в облака и VDI
В допълнение към ръководствата за интегриране за конкретното приложение, препоръчваме ви да прочетете и онлайн помощта на ESET Secure Authentication при внедряване на ESET Secure Authentication. Ако възнамерявате да добавите ESET Secure Authentication към съществуващо приложение, използвайки ESET Secure Authentication API, на разположение са и документите Ръководство за потребителя на ESET Secure Authentication API и ESET Secure Authentication SSL Certificate Replacement.
