[KB3403] Minu autentimise lõpp-punkti konfigureerimine ESET Secure Authenticationiga kasutamiseks

MÄRGE:

See lehekülg on tõlgitud arvuti poolt. Klõpsa selle lehekülje keelte all inglise keeles, et kuvada originaaltekst. Kui midagi jääb ebaselgeks, võta palun ühendust oma kohaliku klienditoega.

Väljaanne

Lahendus

ESA eristab kolme klienditüüpi (näiteks VPNid) selle alusel, kuidas nad Active Directory (AD) keskkonnas autentimist käsitlevad.

Klient ei valideeri kasutajanime ja parooli

Kõik VPN-id peaksid seda stsenaariumi toetama. Kui seadistate ESA veebikonsoolis RADIUS-kliendi konfigureerimisel kliendi tüübiks Client does not validate username and password, kontrollib ESA mõlemad tegurid (kasutajanimi ja parool esimese tegurina ning OTP teise tegurina).

Nõuded

Konfigureerige oma VPN-ühenduse autentimine nii, et see kasutaks RADIUS-autentimist, mis osutab ESA veebikonsoolis konfigureeritud RADIUS-serverile.

Kuidas see toimib?

  • SMS-põhine OTP - esimesel sisselogimiskatsel küsitakse kasutajalt parooli. Sisselogimiskatse ebaõnnestub, kuid kasutaja saab SMS-i teel OTP. Teisel sisselogimiskatsel sisestab kasutaja saadud OTP parooliväljale.
  • Mobiilirakenduse OTP-d / Hard Token OTP-d. Kasutajad logivad sisse, kasutades samaaegselt nii oma parooli kui ka OTP-d kui paroolOTP.
  • Mobiilirakenduse push-kasutajad üritavad sisse logida, kasutades oma sisselogimise andmeid. Kasutaja mobiilseadmesse genereeritakse push-teade. Teate kinnitamine toob kaasa eduka sisselogimise.
SMS- ja Push-autentimine

Kui kasutajal on lubatud nii SMS- kui ka Push-autentimine, töötab ainult SMS.

  • Kasutaja ilma 2FA-ta / valges nimekirjas olev kasutaja: Kasutajad logivad sisse, kasutades oma sisselogimise andmeid. ESA valideerib parooli.

Klient kinnitab kasutajanime ja parooli

Veenduge, et VPN toetab seda ja on õigesti konfigureeritud. Vale konfiguratsioon võib viia paroolide kontrollimise vahelejäämiseni. Kui seadistate ESA veebikonsoolis RADIUS-kliendi konfigureerimisel kliendi tüübiks Client validates username and password, siis valideerib AD esimese teguri (kasutajanimi ja parool).

Nõuded

Seadistage üks autentimine, mis osutab teie serverile, ja üks RADIUS-autentimine, mis osutab ESA RADIUS-serverile.

Kuidas see toimib?
VPN pakub kahte paroolivälja, millest esimene on kasutaja parooli jaoks ja teine OTP jaoks.
  • SMS-põhised OTP-d - vaja on kahte sisselogimiskatset. Esmalt sisestavad kasutajad oma parooli esimesse parooliväljale, seejärel sisestavad sms ilma jutumärkideta. Kui sisestatakse õige kasutajanimi ja parool, ilmub sisselogimisekraan uuesti ilma veateadeteta ja kasutaja saab OTP-i SMS-i teel. Teisel sisselogimiskatsel sisestab kasutaja saadud OTP teise salasõna väljale.
  • Mobiilirakenduse OTP / Hard Token OTP - kasutaja sisestab genereeritud OTP teise salasõna väljale.
  • Mobiilirakenduse push-kasutajad sisestavad sellesse väljale "tühi", "none" kasutajanimi või "push" ilma jutumärkideta. ESA genereerib push-teate ja ootab selle kinnitamist.
  • Kasutaja ilma 2FA-ta / valges nimekirjas olev kasutaja: Kasutajad jätavad teise paroolivälja tühjaks või sisestavad sinna "none" või "push" ilma jutumärkideta.

Kasutage RADIUSi Access-Challenge-funktsiooni

Kasutage seda valikut, kui teie VPN-server võtab mõlema faktori (kasutajanimi ja parool esimese faktorina ning OTP teise faktorina) kontrollimiseks ühendust ainult ESA RADIUSiga, kuid autentimine koosneb kahest etapist.

Järgmised RADIUSi kliendid toetavad RADIUSi Access-Challenge-funktsiooni:

  • Junos Pulse (VPN)
  • Linuxi PAM-moodul

Järgmisi RADIUS-kliente ei tohiks kasutada koos Access-Challenge-funktsiooniga:

  • Microsoft RRAS
Nõuded

Konfigureerige oma VPN-ühenduse autentimine nii, et see kasutaks RADIUS-autentimist, mis osutab ESA veebikonsoolis konfigureeritud RADIUS-serverile.

Kuidas see toimib?
Sisselogimisel on 2 etappi, üldine sisselogimine ja OTP sisestamine või push-teatise kinnitamine. VPN kuvab OTP sisestamiseks hüpikakenüüri või teise lehe või ootab push-teatise kinnitamist.
  • SMS-autentimine: Kasutajad logivad sisse, kasutades oma sisselogimise andmeid, järgmisel ekraanil või hüpikdialoogis sisestavad nad SMS-i teel saadud OTP.
  • Mobiilne OTP / Hard Token: Kasutajad logivad sisse, kasutades oma sisselogimise andmeid, järgmises ekraanil või hüpikdialoogis sisestavad nad genereeritud OTP.
  • Push-autentimine: Kasutajad logivad sisse, kasutades oma sisselogimise andmeid, ja kinnitavad genereeritud push-teatise.
Push-autentimine

Kui kasutajal on lubatud ainult Push-autentimine, ei kuvata järgmist lehte OTP taotlemiseks või teavitatakse push-teatise kinnitamise ootel olekust, kuid kasutaja peab push-teatise heaks kiitma. Kui ta seda ei tee, ebaõnnestub sisselogimiskatse.

  • Kasutaja ilma 2FA-ta / valges nimekirjas olev kasutaja: Kasutajad kasutavad ainult sisselogimisandmeid.

Klient ei valideeri kasutajanime ja parooli - vältida ühendit

Kasutage seda valikut ainult siis, kui teie VPN-server kasutab MS-CHAPv2 (kus liitparooli ei toetata) ja võtab ühendust ESA RADIUSiga, et kontrollida mõlemat tegurit (kasutajanimi ja parool esimese tegurina ning OTP teise tegurina).
Nõuded

Konfigureerige oma VPN-ühenduse autentimine nii, et see kasutaks RADIUS-autentimist, mis osutab ESA veebikonsoolis konfigureeritud RADIUS-serverile.

Kuidas see toimib?
  • SMS-põhised OTP-d, mobiilirakenduse push - esimesel sisselogimiskatsel küsitakse kasutajalt parooli. Sisselogimiskatse ebaõnnestub, kuid kasutaja saab SMS-i teel OTP. Teisel sisselogimiskatsel sisestab kasutaja saadud OTP salasõna väljale.
  • Mobiilirakenduse OTP / Hard Token OTP - kasutajad ei pea sisestama oma parooli, vaid ainult OTP. Turvariski vähendamiseks sunnib mobiilirakenduse PIN-koodi:
    1. ESA veebikonsoolis navigeerige jaotisele Seaded > Mobiilirakendus.
    2. Lülitage sisse käsk Users Must Use a PIN Code (Kasutajad peavad kasutama PIN-koodi).
    3. Klõpsake nuppu Salvesta.
  • Kasutaja ilma 2FA-ta / valges nimekirjas olev kasutaja: Kasutajad logivad sisse, kasutades oma sisselogimise andmeid. ESA valideerib parooli.

<deprecated>

ESA versioonis 2.8 ja varasemates versioonides võis administraator sattuda vastuolulistesse seadistustesse Client does not validate username and password ja Client validates username and password client type. ESA 3.0s on sellised seadistatud klienditüübid tähistatud kui <deprecated>. Soovitame kasutada selliste klienditüüpide vastavat mittevähendatud versiooni.

Integreerimise näidisjuhendid

Klõpsake alloleval lingil, et vaadata ESET Secure Authenticationi integratsioonijuhendit teie konfiguratsiooni jaoks. Integreerimisjuhendid on mõeldud kasutamiseks koos dokumendiga ESET Secure Authentication Verifying ESA RADIUS funktsionaalsuse kontrollimine. Pange tähele, et mõned juhendid võivad olla vananenud ja olla näidiseks. Ajakohastatud integratsioonijuhendi saamiseks konsulteerige oma VPN-seadme müüjaga seoses eespool kirjeldatud toetatud klienditüüpidega.

VPN-, tulemüüri- ja UTM-lõpupunktid:

Pilve- ja VDI-punktid

Lisaks rakendusspetsiifilistele integratsioonijuhistele soovitame ESET Secure Authenticationi rakendamisel lugeda ka ESET Secure Authenticationi veebipõhist abi. Kui kavatsete ESET Secure Authentication'i olemasolevale rakendusele lisada ESET Secure Authentication API abil, on saadaval ka ESET Secure Authentication API kasutusjuhend ja ESET Secure Authentication SSL-sertifikaadi asendamise dokumendid.

Viimati uuendatud: 17. märts 2026

Lisaressursid

Kasutusjuhendid

ESETi foorum

YouTube'i videod
ESET Status Portal ESET Technical Support

Olemasolev klient?