[KB3403] Konfigurace mého koncového bodu ověřování pro použití s ESET Secure Authentication

POZNÁMKA:

Tato stránka byla přeložena počítačem. Chcete-li zobrazit originální text, klikněte v části Jazyky na této stránce na Angličtina. Pokud vám něco není jasné, obraťte se na místní podporu.

Obsah

Řešení

Systém ESA rozlišuje tři typy klientů (například VPN) podle způsobu, jakým zpracovávají ověřování v prostředí služby Active Directory (AD).

Klient neověřuje uživatelské jméno a heslo

Tento scénář by měly podporovat všechny sítě VPN. Pokud při konfiguraci klienta RADIUS ve webové konzole ESA nastavíte typ klienta na hodnotu Klient neověřuje uživatelské jméno a heslo, ESA ověří oba faktory (uživatelské jméno a heslo jako první faktor a OTP jako druhý faktor).

Požadavky

Nakonfigurujte ověřování připojení VPN tak, aby používalo ověřování RADIUS s odkazem na server RADIUS nakonfigurovaný ve webové konzole ESA. 

Jak to funguje?

  • SMS OTP—Při prvním pokusu o přihlášení je uživatel vyzván k zadání hesla. Pokus o přihlášení se nezdaří, ale uživatel obdrží OTP prostřednictvím SMS. Při druhém pokusu o přihlášení zadá uživatel do pole pro zadání hesla OTP, které obdržel.
  • Mobilní aplikace OTP / Hard Token OTP—Uživatelé se přihlašují pomocí hesla i OTP současně jako hesloOTP.
  • Mobilní aplikace Push—Uživatelé se pokoušejí přihlásit pomocí svých přihlašovacích údajů. Na mobilním zařízení uživatele se vygeneruje oznámení push. Schválením oznámení dojde k úspěšnému přihlášení.
Ověřování pomocí SMS a Push

Pokud má uživatel povoleno ověřování SMS i Push, bude fungovat pouze SMS.

  • Uživatel bez 2FA / uživatel na bílé listině: Uživatelé se přihlašují pomocí svých přihlašovacích údajů. ESA ověří platnost hesla.

Klient ověří uživatelské jméno a heslo

Ujistěte se, že síť VPN tuto funkci podporuje a je správně nakonfigurována. Nesprávná konfigurace může vést k vynechání ověření hesla. Pokud při konfiguraci klienta RADIUS ve webové konzole ESA nastavíte typ klienta na hodnotu Klient ověřuje uživatelské jméno a heslo, bude první faktor (uživatelské jméno a heslo) ověřen službou AD.

Požadavky

Nastavte jedno ověřování směřující na váš server a jedno ověřování RADIUS směřující na server RADIUS ESA.

Jak to funguje?
VPN poskytuje dvě pole pro heslo, první pro heslo uživatele a druhé pro OTP.
  • SMS OTP—Jsou vyžadovány dva pokusy o přihlášení. Uživatelé nejprve zadají své heslo do prvního pole pro heslo a poté zadají sms, bez uvozovek. Pokud je zadáno správné uživatelské jméno a heslo, přihlašovací obrazovka se znovu zobrazí bez chybové zprávy a uživatel obdrží OTP prostřednictvím SMS. Při druhém pokusu o přihlášení zadá uživatel obdržené OTP do pole pro druhé heslo.
  • Mobilní aplikace OTP / Hard Token OTP—Uživatelé zadají vygenerované OTP do druhého pole hesla.
  • Mobilní aplikace Push—Uživatelé do tohoto pole zadají "empty", "none" uživatelské jméno nebo "push" bez uvozovek. ESA vygeneruje oznámení push a čeká na jeho schválení.
  • Uživatel bez 2FA / uživatel na bílé listině: Uživatelé nechávají druhé pole pro heslo prázdné nebo do něj zadají "žádné" nebo "push" bez uvozovek.

Použití funkce Výzva k přístupu protokolu RADIUS

Tuto možnost použijte, pokud váš server VPN kontaktuje pouze ESA RADIUS pro ověření obou faktorů (uživatelské jméno a heslo jako první faktor a OTP jako druhý faktor), ale ověření se skládá ze dvou kroků.

Následující klienti RADIUS podporují funkci RADIUS Access-Challenge:

  • Junos Pulse (VPN)
  • Modul PAM pro Linux

Následující klienti RADIUS by neměli být používáni s funkcí Access-Challenge:

  • Microsoft RRAS
Požadavky

Nakonfigurujte ověřování připojení VPN tak, aby používalo ověřování RADIUS s odkazem na server RADIUS nakonfigurovaný ve webové konzole ESA. 

Jak to funguje?
Přihlášení má 2 fáze, obecné přihlášení a zadání OTP nebo schválení oznámení push. VPN zobrazí vyskakovací okno nebo jinou stránku pro zadání OTP nebo čeká na schválení oznámení push.
  • Ověřování pomocí SMS: Uživatelé se přihlásí pomocí svých přihlašovacích údajů a na další obrazovce nebo ve vyskakovacím okně zadají OTP, které obdrželi prostřednictvím SMS.
  • Mobilní OTP / Hard Token: Uživatelé se přihlásí pomocí svých přihlašovacích údajů a na další obrazovce nebo ve vyskakovacím okně zadají vygenerované OTP.
  • Ověřování Push: Uživatelé se přihlásí pomocí svých přihlašovacích údajů a schválí vygenerované oznámení push.
Ověřování Push

Pokud má uživatel povoleno pouze ověřování Push, nezobrazí se žádná další stránka s žádostí o OTP nebo informací o čekajícím schválení oznámení Push, ale uživatel musí oznámení Push schválit. Pokud tak neučiní, pokus o přihlášení se nezdaří.

  • Uživatel bez 2FA / uživatel na bílé listině: Uživatelé používají pouze přihlašovací údaje. 

Klient neověřuje uživatelské jméno a heslo - vyhněte se složenému jménu a heslu

Tuto možnost použijte pouze v případě, že váš server VPN používá MS-CHAPv2 (kde není podporováno složené heslo) a kontaktuje ESA RADIUS pro ověření obou faktorů (uživatelské jméno a heslo jako první faktor a OTP jako druhý faktor).
Požadavky

Nakonfigurujte ověřování připojení VPN tak, aby používalo ověřování RADIUS s odkazem na server RADIUS nakonfigurovaný ve webové konzole ESA. 

Jak to funguje?
  • SMS OTP, mobilní aplikace Push—Při prvním pokusu o přihlášení je uživatel vyzván k zadání hesla. Pokus o přihlášení se nezdaří, ale uživatel obdrží OTP prostřednictvím SMS. Při druhém pokusu o přihlášení zadá uživatel do pole pro zadání hesla OTP, které obdržel.
  • Mobilní aplikace OTP / Hard Token OTP—Uživatelé nemusí zadávat své heslo, pouze OTP. Chcete-li snížit bezpečnostní riziko, vynuťte kód PIN mobilní aplikace:
    1. Ve webové konzole ESA přejděte do části Nastavení > Mobilní aplikace.
    2. Zapněte možnost Uživatelé musí používat kód PIN.
    3. Klikněte na tlačítko Uložit.
  • Uživatel bez 2FA / uživatel na bílé listině: Uživatelé se přihlašují pomocí svých přihlašovacích údajů. ESA ověří platnost hesla.

<‎zastaralé>

Ve verzi ESA 2.8 a starší mohl správce skončit s nekonzistentním nastavením  Klient neověřuje uživatelské jméno a heslo a Klient ověřuje uživatelské jméno a heslo typ klienta. V systému ESA 3.0 jsou takto nakonfigurované typy klientů označeny jako <deprecated>. Doporučujeme používat odpovídající nezrušené verze těchto typů klientů.
 

Vzorové integrační příručky

Kliknutím na příslušný odkaz níže zobrazíte průvodce integrací ESET Secure Authentication pro vaši konfiguraci. Integrační příručky jsou určeny k použití v kombinaci s dokumentem ESET Secure Authentication Ověřování funkčnosti ESA RADIUS. Upozorňujeme, že některé z příruček mohou být zastaralé a slouží jako ukázka. Aktuálního průvodce integrací naleznete u dodavatele zařízení VPN, pokud jde o výše popsané podporované typy klientů.

Koncové body VPN, Firewall a UTM :

Cloud a VDI koncové body

Kromě průvodců integrací jednotlivých aplikací doporučujeme při implementaci ESET Secure Authentication číst také online nápovědu ESET Secure Authentication. Pokud plánujete přidat ESET Secure Authentication do stávající aplikace pomocí ESET Secure Authentication API, jsou k dispozici také dokumenty Uživatelská příručka ESET Secure Authentication API a Náhrada SSL certifikátu ESET Secure Authentication.

Poslední aktualizace: Mar 2, 2026

Další pomoc

Uživatelské příručky

ESET Fórum

Videa na YouTube
ESET Status Portal ESET Technical Support

Stávající zákazník?