[KB3403] Konfigurer mit godkendelsesslutpunkt til brug med ESET Secure Authentication

BEMÆRK:

Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.

Problem

Løsning

ESA skelner mellem tre klienttyper (f.eks. VPN'er) baseret på den måde, de håndterer godkendelse på i et Active Directory (AD)-miljø.

Klienten validerer ikke brugernavn og adgangskode

Alle VPN'er bør understøtte dette scenarie. Hvis du indstiller Client Type til Client does not validate username and password, når du konfigurerer en RADIUS-klient i ESA's webkonsol, bliver begge faktorer (brugernavn og adgangskode som den første faktor og OTP som den anden faktor) verificeret af ESA.

Krav

Konfigurer godkendelsen af din VPN-forbindelse til at bruge RADIUS-godkendelse, der peger på en RADIUS-server, som du har konfigureret i ESA's webkonsol.

Hvordan fungerer det?

  • SMS-baserede OTP'er - Ved det første login-forsøg bliver brugeren bedt om at indtaste en adgangskode. Login-forsøget mislykkes, men brugeren modtager en OTP via sms. Ved det andet login-forsøg indtaster brugeren den modtagne OTP i adgangskodefeltet.
  • Mobile Application OTP'er / Hard Token OTP'er - Brugere logger ind med både deres adgangskode og OTP på samme tid som passwordOTP.
  • Mobilapplikation Push - Brugere forsøger at logge ind med deres loginoplysninger. Der genereres en push-meddelelse på brugerens mobile enhed. Godkendelse af meddelelsen resulterer i et vellykket login.
SMS- og push-godkendelse

Hvis en bruger har aktiveret både sms- og push-godkendelse, er det kun sms'en, der virker.

  • Bruger uden 2FA / hvidlistet bruger: Brugere logger ind med deres loginoplysninger. ESA validerer adgangskoden.

Klienten validerer brugernavn og adgangskode

Sørg for, at VPN'en understøtter dette og er konfigureret korrekt. Forkert konfiguration kan føre til, at adgangskodebekræftelse springes over. Hvis du indstiller Client Type til Client validates username and password, når du konfigurerer en RADIUS-klient i ESA's webkonsol, så valideres den første faktor (brugernavn og adgangskode) af AD.

Krav til godkendelse

Opsæt en godkendelse, der peger på din server, og en RADIUS-godkendelse, der peger på ESA's RADIUS-server.

Hvordan fungerer det?
VPN har to adgangskodefelter, det første til brugerens adgangskode og det andet til OTP.
  • SMS-baserede OTP'er - Der kræves to login-forsøg. Først indtaster brugerne deres adgangskode i det første adgangskodefelt og skriver derefter sms uden anførselstegn. Hvis brugernavn og adgangskode er korrekte, vises login-skærmen igen uden nogen fejlmeddelelse, og brugeren modtager en OTP via sms. Ved det andet login-forsøg indtaster brugeren den modtagne OTP i det andet adgangskodefelt.
  • Mobile Application OTP'er / Hard Token OTP'er -Brugerne indtaster den genererede OTP i det andet password-felt.
  • Mobilapplikation Push - Brugerne indtaster "tom", "ingen" brugernavn eller "push" uden anførselstegn i dette felt. ESA genererer en push-meddelelse og venter på godkendelse.
  • Bruger uden 2FA / hvidlistet bruger: Brugere lader det andet adgangskodefelt være tomt eller skriver "none" eller "push" uden anførselstegn i det felt.

Brug Access-Challenge-funktionen i RADIUS

Brug denne indstilling, hvis din VPN-server kun kontakter ESA RADIUS for at bekræfte begge faktorer (brugernavn og adgangskode som den første faktor og OTP som den anden faktor), men godkendelsen består af to trin.

Følgende RADIUS-klienter understøtter funktionen RADIUS Access-Challenge:

  • Junos Pulse (VPN)
  • Linux PAM-modul

Følgende RADIUS-klienter bør ikke bruges med Access-Challenge-funktionen:

  • Microsoft RRAS
Krav til godkendelse

Konfigurer godkendelsen af din VPN-forbindelse til at bruge RADIUS-godkendelse, der peger på en RADIUS-server, som du har konfigureret i ESA Web Console.

Hvordan fungerer det?
Login har 2 faser, generisk login og indtastning af OTP eller godkendelse af push-meddelelse. VPN'en viser en popup-dialog eller en anden side til indtastning af OTP'en eller venter på godkendelse af push-meddelelsen.
  • SMS-godkendelse: Brugere logger ind med deres loginoplysninger, og i den næste skærm eller popup-dialog indtaster de den OTP, de har modtaget via sms.
  • Mobil OTP / Hard Token: Brugerne logger ind med deres loginoplysninger, og i den næste skærm eller popup-dialog indtaster de den genererede OTP.
  • Push-godkendelse: Brugerne logger ind med deres loginoplysninger og godkender den genererede push-meddelelse.
Push-godkendelse

Hvis brugeren kun har aktiveret push-godkendelse, vises der ingen efterfølgende side med anmodning om OTP eller information om afventende godkendelse af push-meddelelse, men brugeren skal godkende push-meddelelsen. Hvis de ikke gør det, vil login-forsøget mislykkes.

  • Bruger uden 2FA / hvidlistet bruger: Brugere bruger kun login-oplysninger.

Klienten validerer ikke brugernavn og adgangskode - undgå forbindelse

Brug kun denne indstilling, hvis din VPN-server bruger MS-CHAPv2 (hvor en sammensat adgangskode ikke understøttes), og den kontakter ESA RADIUS for at verificere begge faktorer (brugernavn og adgangskode som den første faktor og OTP som den anden faktor).
Krav

Konfigurer godkendelsen af din VPN-forbindelse til at bruge RADIUS-godkendelse, der peger på en RADIUS-server, som du har konfigureret i ESA Web Console.

Hvordan fungerer det?
  • SMS-baserede OTP'er, mobilapplikationspush- Ved det første login-forsøg bliver brugeren bedt om at indtaste en adgangskode. Login-forsøget mislykkes, men brugeren modtager en OTP via sms. Ved det andet login-forsøg indtaster brugeren den modtagne OTP i adgangskodefeltet.
  • Mobilapplikations-OTP'er / Hard Token OTP'er -Brugerne behøver ikke at indtaste deres adgangskode, kun OTP'en. For at mindske sikkerhedsrisikoen kan man gennemtvinge en PIN-kode til mobilapplikationen:
    1. Gå til Indstillinger > Mobilapplikation i ESA's webkonsol.
    2. Slå Brugere skal bruge en pinkode til.
    3. Klik på Gem.
  • Bruger uden 2FA / hvidlistet bruger: Brugere logger ind med deres loginoplysninger. ESA validerer adgangskoden.

<Udgået>

I ESA version 2.8 og tidligere kunne administratoren ende med inkonsekvente indstillinger af klienttypen Client does not validate username and password og Client validates username and password. I ESA 3.0 er sådanne konfigurerede klienttyper mærket som <deprecated>. Vi anbefaler at bruge den tilsvarende ikke-forældede version af sådanne klienttyper.

Eksempler på integrationsvejledninger

Klik på det relevante link nedenfor for at se integrationsvejledningen til ESET Secure Authentication for din konfiguration. Integrationsvejledningerne er designet til at blive brugt i kombination med dokumentet ESET Secure Authentication Verifying ESA RADIUS functionality. Bemærk, at nogle af vejledningerne kan være forældede og fungerer som eksempler. For at få en opdateret integrationsvejledning skal du kontakte leverandøren af dit VPN-apparat med hensyn til de understøttede klienttyper, der er beskrevet ovenfor.

VPN-, firewall- og UTM-slutpunkter:

Cloud- og VDI-slutpunkter

Ud over de applikationsspecifikke integrationsvejledninger anbefaler vi, at du også læser ESET Secure Authentications onlinehjælp, når du implementerer ESET Secure Authentication. Hvis du planlægger at tilføje ESET Secure Authentication til en eksisterende applikation ved hjælp af ESET Secure Authentication API, er dokumenterne ESET Secure Authentication API User Guide og ESET Secure Authentication SSL Certificate Replacement også tilgængelige.

Senest opdateret: Apr 8, 2025

Yderligere ressourcer

Brugervejledninger

ESET-forum

YouTube-videoer

ESET Status Portal Kontakt ESETs tekniske support

Eksisterende kunde?