Problem
- Konfiguration von ESET Secure Authentication (ESA) für die Verwendung mit Ihrem Client
Lösung
VPN Typen
ESA unterscheidet drei VPN-Typen auf der Grundlage der Art und Weise, wie sie die Authentifizierung in einer Active Directory (AD) -Umgebung handhaben.
1. Das VPN prüft AD-Benutzername and -Passwort nicht
Alle VPNs sollten dieses Szenario unterstützen.
Voraussetzungen
Konfigurieren Sie die Authentifizierung Ihrer VPN-Verbindung, um die RADIUS-Authentifizierung zu verwenden, die auf einen RADIUS-Server verweist, den Sie in der ESA Management Console konfiguriert haben.
Funktionsweise
- SMS-Authentifizierung: Benutzer versuchen, sich mit ihrem AD-Benutzernamen und -Passwort anzumelden. Die Eingabe von korrekten Anmeldeinformationen gilt als fehlgeschlagener Anmeldeversuch, aber der Benutzer erhält ein OTP per SMS und bei der nächsten Anmeldung versucht der Benutzer das empfangene OTP allein in das Passwortfeld einzugeben.
- Mobiles OTP / Hard Token Authentifizierung: Benutzer melden sich mit ihrem AD-Benutzernamen und -Passwort an, während das Passwort und OTP miteinander verbunden sind.
- Push-Authentifizierung: Benutzer versuchen, sich mit ihren AD-Anmeldeinformationen anzumelden. Eine Push-Benachrichtigung wird auf dem mobilen Gerät des Benutzers generiert. Die Genehmigung der Benachrichtigung ergibt eine erfolgreiche Anmeldung.
- Benutzer ohne 2FA / Whitelist-Benutzer: Benutzer melden sich mit ihren AD-Anmeldeinformationen an. ESA bestätigt das Passwort.
2. Das VPN prüft AD-Benutzername and -Passwort
Stellen Sie sicher, dass das VPN dies unterstützt und korrekt konfiguriert ist. Falsche Konfiguration kann dazu führen, dass die Überprüfung des Kennworts übergangen wird.
Voraussetzungen
Richten Sie eine Active Directory-Authentifizierung ein, die auf Ihren Active Directory-Server und eine RADIUS-Authentifizierung, die auf den ESA-RADIUS-Server verweist.
Funktionsweise
- SMS-Authentifizierung: Es sind zwei Anmeldeversuche erforderlich. Beim ersten geben die Benutzer ihr AD-Passwort in das erste Passwortfeld ein und in das zweite geben sie "sms" ohne Anführungszeichen ein. Wenn der korrekte AD-Benutzername und das Passwort eingegeben wurden, erscheint der Login-Bildschirm ohne Fehlermeldung erneut und der Benutzer erhält ein OTP per SMS. Beim zweiten Login-Versuch gibt der Benutzer das empfangene OTP in das zweite Passwortfeld ein.
- Mobiles OTP / Hard Token Authentifizierung: Benutzer geben das generierte OTP in das zweite Passwortfeld ein.
- Push-Authentifizierung: Benutzer lassen das zweite Passwortfeld leer oder geben Sie "none" oder "push" ohne Anführungszeichen in dieses Feld ein. ESA generiert eine Push-Benachrichtigung und wartet auf ihre Zustimmung.
- Benutzer ohne 2FA / Whitelist-Benutzer: Benutzer lassen das zweite Passwortfeld leer, oder geben "none" oder "push" ohne Anführungszeichen in dieses Feld ein.
3. Nutzen der Access-Challenge-Funktion von RADIUS
Nur einige VPNs unterstützen dies und müssen auf dem VPN-Server korrekt konfiguriert sein.
Voraussetzungen
Configure the authentication of your VPN connection to use RADIUS authentication pointing to a RADIUS server you configured in ESA Management Console.
Funktionsweise
- SMS-Authentifizierung: Benutzer melden sich mit ihren AD-Anmeldeinformationen an, im nächsten Bildschirm oder Popup-Dialog geben sie das per SMS empfangene OTP ein.
- Mobiles OTP / Hard Token Authentifizierung: Benutzer melden sich mit ihren AD-Anmeldeinformationen an, im nächsten Bildschirm oder Popup-Dialog geben sie das generierte OTP ein.
- Push-Authentifizierung: Benutzer melden sich mit ihren AD-Anmeldeinformationen an und genehmigen die generierte Push-Benachrichtigung.
- Benutzer ohne 2FA / Whitelist-Benutzer: Benutzer verwenden nur AD-Anmeldeinformationen.
Integrationsleitfäden
Klicken Sie auf den entsprechenden Link unten, um die ESET Secure Authentication Integration Guide für Ihre Konfiguration anzuzeigen. Die Integrationsanleitungen sind so konzipiert, dass sie in Kombination mit dem Dokument ESET Secure Authentication - Verifying ESA RADIUS functionality verwendet werden. Beachten Sie, dass einige der Guides veraltet sein und nur als Beispiel dienen können. Für aktuelle Installationsanleitungen wenden Sie sich bitte an den Hersteller Ihrer VPN-Applikation im Hinblick auf die oben beschriebenen VPN-Typen.
VPN, Firewall und UTMs:
- Barracuda
- Check Point Software
- Cisco ASA IPsec
- Cisco ASA SSL
- Citrix Access Gateway
- Citrix Netscaler
- Cyberoam
- F5 Firepass
- Fortinet Fortigate
- Juniper
- Juniper (Access-Challenge)
- Microsoft RRAS
- Microsoft RRAS with NPS
- Microsoft Forefront Threat Management Gateway
- Netasq
- OpenVPN Access Server
- Palo Alto
- Sonicwall
Cloud und VDI:
Zusätzlich zu den anwendungsspezifischen Integrationsleitfäden empfehlen wir Ihnen, das ESET Secure Authentication Produkthandbuch oder das ESET Secure Authentication Installationshandbuch (bei der Installation älterer Version 1.X) bei der Implementierung von ESET Secure Authentication zu lesen. Wenn Sie planen, ESET Secure Authentication zu einer vorhandenen Anwendung mit der ESET Secure Authentication API hinzuzufügen, sind auch das ESET Secure Authentication API Benutzerhandbuch und das ESET Secure Authentication SSL Certificate Replacement-Dokumente verfügbar.