问题
- 配置 ESET 安全身份验证 (ESA) 以与身份验证终端一起使用
- 客户端未验证用户名和密码
- 客户端验证用户名和密码
- 使用 RADIUS 的访问挑战功能
- 客户端不验证用户名和密码--避免复合
- <删除
- 集成指南示例
解决方案
ESA 根据活动目录 (AD) 环境中处理身份验证的方式,区分了三种客户端类型(例如 VPN)。
客户端不验证用户名和密码
所有 VPN 都应支持这种情况。在 ESA Web 控制台配置 RADIUS 客户端时,如果将客户端类型设为客户端不验证用户名和密码,ESA 将验证两个因素(用户名和密码作为第一因素,OTP 作为第二因素)。
要求
配置 VPN 连接的身份验证,使其使用指向 ESA Web 控制台中配置的 RADIUS 服务器的 RADIUS 身份验证。
如何使用?
- 基于短信的 OTP - 在第一次登录尝试时,系统会提示用户输入密码。登录尝试失败,但用户会通过短信收到一个 OTP。第二次登录时,用户将收到的 OTP 输入密码字段。
- 移动应用 OTP/硬令牌 OTP--用户同时使用密码和 OTP(如 passwordOTP)登录。
- 移动应用推送--用户尝试使用登录凭证登录。用户的移动设备上会生成推送通知。批准通知后,登录成功。
- 无 2FA 的用户/白名单用户:用户使用自己的登录凭证登录。ESA 验证密码。
客户端验证用户名和密码
确保 VPN 支持并配置正确。不正确的配置会导致跳过密码验证。在 ESA Web 控制台配置 RADIUS 客户端时,如果将客户端类型设为客户端验证用户名和密码,则第一个因素(用户名和密码)由 AD 验证。
要求
设置一个指向服务器的身份验证和一个指向 ESA RADIUS 服务器的 RADIUS 身份验证。
如何操作?
- 基于短信的 OTP--需要两次登录尝试。首先,用户在第一个密码字段输入密码,然后输入不带引号的
sms。如果输入的用户名和密码正确,登录屏幕会再次出现,不会出现任何错误信息,用户会收到一条短信 OTP。第二次登录时,用户在第二个密码字段中输入收到的 OTP。
- 移动应用 OTP/硬令牌 OTP--用户将生成的 OTP 输入第二个密码字段。
- 移动应用推送--用户在该字段中输入 "空"、"无 "用户名或不带引号的 "推送"。ESA 会生成推送通知并等待批准。
- 无 2FA 用户/白名单用户:用户将第二个密码字段留空,或在该字段中输入 "无 "或不带引号的 "推送"。
使用 RADIUS 的访问挑战功能
如果 VPN 服务器只联系 ESA RADIUS 来验证两个因素(用户名和密码作为第一个因素,OTP 作为第二个因素),但身份验证包括两个步骤,请使用此选项。
以下 RADIUS 客户端支持 RADIUS Access-Challenge 功能:
- Junos Pulse(VPN)
- Linux PAM 模块
以下 RADIUS 客户端不应与 Access-Challenge 功能一起使用:
- Microsoft RRAS
要求
配置 VPN 连接的身份验证,以使用指向 ESA Web 控制台中配置的 RADIUS 服务器的 RADIUS 身份验证。
如何操作?
- 短信验证:用户使用登录凭证登录,在下一个屏幕或弹出对话框中输入通过短信收到的 OTP。
- 移动 OTP/硬令牌:用户使用登录凭据登录,在下一个屏幕或弹出对话框中输入生成的 OTP。
- 推送验证:用户使用登录凭证登录,并批准生成的推送通知。
- 无 2FA 用户/白名单用户:用户只使用登录凭证。
客户端不验证用户名和密码--避免复合
要求
配置 VPN 连接的身份验证,以使用指向 ESA Web 控制台中配置的 RADIUS 服务器的 RADIUS 身份验证。
如何使用?
- 基于短信的 OTP、移动应用程序推送--在第一次登录尝试时,系统会提示用户输入密码。登录尝试失败,但用户会通过短信收到一个 OTP。第二次登录时,用户将收到的 OTP 输入密码字段。
- 移动应用 OTP/硬令牌 OTP--用户无需输入密码,只需输入 OTP。为降低安全风险,可强制使用移动应用程序 PIN:
- 在 ESA Web 控制台中,导航至设置>移动应用程序。
- 打开 "用户必须使用 PIN 码"。
- 单击保存。
- 无 2FA 的用户/白名单用户:用户使用登录凭证登录。ESA 验证密码。
<弃用
在 ESA 2.8 及更早版本中,管理员可能会出现客户端不验证用户名和密码以及客户端验证用户名和密码客户端类型设置不一致的情况。在 ESA 3.0 中,此类已配置的客户端类型被标记为<废弃>。我们建议使用此类客户端类型的相应非过时版本。集成指南样本
单击下面的相应链接,查看适合您配置的 ESET 安全身份验证集成指南。集成指南旨在与ESET 安全身份验证验证 ESA RADIUS 功能文档结合使用。请注意,某些指南可能已经过时,仅作为示例。如需最新的集成指南,请咨询 VPN 设备供应商,了解上述支持的客户端类型。
VPN、防火墙和 UTM 终端:
- Barracuda
- Check Point Software
- Cisco ASA IPsec
- Cisco ASA SSL
- Citrix Access Gateway
- Citrix Netscaler
- Cyberoam
- Fortinet Fortigate
- Microsoft Forefront Threat Management Gateway
- Netasq
云和 VDI 端点
除了应用程序特定的集成指南外,我们还建议您在实施 ESET 安全身份验证时阅读 ESET 安全身份验证在线帮助。如果您计划使用 ESET Secure Authentication API 将 ESET Secure Authentication 添加到现有应用程序中,还可使用 ESET SecureAuthentication API 用户指南和ESET Secure Authentication SSL 证书替换文档。
