[KB3403] Konfiguration eines Clients zur Verwendung mit ESET Secure Authentication (ESA)

Problem

  • Konfiguration von ESET Secure Authentication (ESA) für die Verwendung mit Ihrem Client

Lösung

VPN Typen

ESA unterscheidet drei VPN-Typen auf der Grundlage der Art und Weise, wie sie die Authentifizierung in einer Active Directory (AD) -Umgebung handhaben.

1. Das VPN prüft AD-Benutzername and -Passwort nicht

Alle VPNs sollten dieses Szenario unterstützen.

Voraussetzungen

Konfigurieren Sie die Authentifizierung Ihrer VPN-Verbindung, um die RADIUS-Authentifizierung zu verwenden, die auf einen RADIUS-Server verweist, den Sie in der ESA Management Console konfiguriert haben.

Funktionsweise

  • SMS-Authentifizierung: Benutzer versuchen, sich mit ihrem AD-Benutzernamen und -Passwort anzumelden. Die Eingabe von korrekten Anmeldeinformationen gilt als fehlgeschlagener Anmeldeversuch, aber der Benutzer erhält ein OTP per SMS und bei der nächsten Anmeldung versucht der Benutzer das empfangene OTP allein in das Passwortfeld einzugeben.
  • Mobiles OTP / Hard Token Authentifizierung: Benutzer melden sich mit ihrem AD-Benutzernamen und -Passwort an, während das Passwort und OTP miteinander verbunden sind.
  • Push-Authentifizierung: Benutzer versuchen, sich mit ihren AD-Anmeldeinformationen anzumelden. Eine Push-Benachrichtigung wird auf dem mobilen Gerät des Benutzers generiert. Die Genehmigung der Benachrichtigung ergibt eine erfolgreiche Anmeldung.

Hinweis:

Wenn ein Benutzer sowohl SMS als auch Push-Authentifizierung aktiviert hat, wird in diesem Fall nur SMS funktionieren.

  • Benutzer ohne 2FA / Whitelist-Benutzer: Benutzer melden sich mit ihren AD-Anmeldeinformationen an. ESA bestätigt das Passwort.

2. Das VPN prüft AD-Benutzername and -Passwort

Stellen Sie sicher, dass das VPN dies unterstützt und korrekt konfiguriert ist. Falsche Konfiguration kann dazu führen, dass die Überprüfung des Kennworts übergangen wird.

Voraussetzungen

Richten Sie eine Active Directory-Authentifizierung ein, die auf Ihren Active Directory-Server und eine RADIUS-Authentifizierung, die auf den ESA-RADIUS-Server verweist.

Funktionsweise

VPN stellt zwei Passwortfelder zur Verfügung: für das AD-Passwort des Benutzers und für das OTP.
  • SMS-Authentifizierung: Es sind zwei Anmeldeversuche erforderlich. Beim ersten geben die Benutzer ihr AD-Passwort in das erste Passwortfeld ein und in das zweite geben sie "sms" ohne Anführungszeichen ein. Wenn der korrekte AD-Benutzername und das Passwort eingegeben wurden, erscheint der Login-Bildschirm ohne Fehlermeldung erneut und der Benutzer erhält ein OTP per SMS. Beim zweiten Login-Versuch gibt der Benutzer das empfangene OTP in das zweite Passwortfeld ein.
  • Mobiles OTP / Hard Token Authentifizierung: Benutzer geben das generierte OTP in das zweite Passwortfeld ein.
  • Push-Authentifizierung: Benutzer lassen das zweite Passwortfeld leer oder geben Sie "none" oder "push" ohne Anführungszeichen in dieses Feld ein. ESA generiert eine Push-Benachrichtigung und wartet auf ihre Zustimmung.
  • Benutzer ohne 2FA / Whitelist-Benutzer: Benutzer lassen das zweite Passwortfeld leer, oder geben "none" oder "push" ohne Anführungszeichen in dieses Feld ein.

3. Nutzen der Access-Challenge-Funktion von RADIUS

Nur einige VPNs unterstützen dies und müssen auf dem VPN-Server korrekt konfiguriert sein.

Voraussetzungen

Configure the authentication of your VPN connection to use RADIUS authentication pointing to a RADIUS server you configured in ESA Management Console. 

Funktionsweise

Die Anmeldung hat 2 Phasen: generischer AD-Login und OTP-Eingabe oder die Genehmigung einer Push-Benachrichtigung. Das VPN zeigt einen Popup-Dialog oder eine andere Seite an, um das OTP einzugeben oder wartet auf die Genehmigung der Push-Benachrichtigung.
  • SMS-Authentifizierung: Benutzer melden sich mit ihren AD-Anmeldeinformationen an, im nächsten Bildschirm oder Popup-Dialog geben sie das per SMS empfangene OTP ein.
  • Mobiles OTP / Hard Token Authentifizierung: Benutzer melden sich mit ihren AD-Anmeldeinformationen an, im nächsten Bildschirm oder Popup-Dialog geben sie das generierte OTP ein.
  • Push-Authentifizierung: Benutzer melden sich mit ihren AD-Anmeldeinformationen an und genehmigen die generierte Push-Benachrichtigung.

Hinweis:

Wenn der Benutzer nur die Push-Authentifizierung aktiviert hat, gibt es keinen nachfolgenden Dialog oder eine angezeigte Seite, die OTP anfordert oder über das Warten auf die Genehmigung der Push-Benachrichtigung informiert, aber der Benutzer muss die Push-Benachrichtigung genehmigen, andernfalls schlägt der Login-Versuch fehl.

  • Benutzer ohne 2FA / Whitelist-Benutzer: Benutzer verwenden nur AD-Anmeldeinformationen.

Integrationsleitfäden

Klicken Sie auf den entsprechenden Link unten, um die ESET Secure Authentication Integration Guide für Ihre Konfiguration anzuzeigen. Die Integrationsanleitungen sind so konzipiert, dass sie in Kombination mit dem Dokument ESET Secure Authentication - Verifying ESA RADIUS functionality verwendet werden. Beachten Sie, dass einige der Guides veraltet sein und nur als Beispiel dienen können. Für aktuelle Installationsanleitungen wenden Sie sich bitte an den Hersteller Ihrer VPN-Applikation im Hinblick auf die oben beschriebenen VPN-Typen.

VPN, Firewall und UTMs:

Cloud und VDI:

Zusätzlich zu den anwendungsspezifischen Integrationsleitfäden empfehlen wir Ihnen, das ESET Secure Authentication Produkthandbuch oder das ESET Secure Authentication Installationshandbuch (bei der Installation älterer Version 1.X) bei der Implementierung von ESET Secure Authentication zu lesen. Wenn Sie planen, ESET Secure Authentication zu einer vorhandenen Anwendung mit der ESET Secure Authentication API hinzuzufügen, sind auch das ESET Secure Authentication API Benutzerhandbuch und das ESET Secure Authentication SSL Certificate Replacement-Dokumente verfügbar.

Zusätzliche Hilfestellung