[KB3403] Määritä todennuspäätepisteeni käytettäväksi ESET Secure Authenticationin kanssa

HUOM:

Tämä sivu on käännetty tietokoneella. Klikkaa englantia tämän sivun Kielet-kohdassa näyttääksesi alkuperäisen tekstin. Jos jokin on epäselvää, ota yhteyttä paikalliseen tukeen.

 

Kysymys

Ratkaisu

ESA erottaa kolme asiakastyyppiä (esimerkiksi VPN:t) sen perusteella, miten ne käsittelevät todennusta Active Directory (AD) -ympäristössä.

Asiakas ei vahvista käyttäjänimeä ja salasanaa

Kaikkien VPN:ien pitäisi tukea tätä skenaariota. Jos asetat Client Type (Asiakastyyppi) -asetukseksi Client does not validate username and password (Asiakas ei vahvista käyttäjänimeä ja salasanaa ), kun määrität RADIUS-asiakasta ESA Web Console -ohjelmassa, ESA tarkistaa molemmat tekijät (käyttäjänimi ja salasana ensimmäisenä tekijänä ja OTP toisena tekijänä).

Vaatimukset

Määritä VPN-yhteyden todennus käyttämään RADIUS-todennusta, joka osoittaa ESA Web Consolessa määritettyyn RADIUS-palvelimeen.

Miten se toimii?

  • Tekstiviestipohjaiset OTP:t - Ensimmäisellä kirjautumisyrityksellä käyttäjää pyydetään antamaan salasana. Kirjautumisyritys epäonnistuu, mutta käyttäjä saa OTP:n tekstiviestillä. Toisella kirjautumisyrityksellä käyttäjä syöttää saamansa OTP:n salasanakenttään.
  • Mobiilisovelluksen OTP:t / Hard Token OTP:t - Käyttäjät kirjautuvat sisään käyttämällä sekä salasanaa että OTP:tä samanaikaisesti salasananaOTP.
  • Mobiilisovelluksen Push-käyttäjät yrittävät kirjautua sisään käyttämällä kirjautumistietojaan. Käyttäjän mobiililaitteeseen luodaan push-ilmoitus. Ilmoituksen hyväksyminen johtaa onnistuneeseen kirjautumiseen.
Tekstiviesti- ja Push-todennus

Jos käyttäjällä on käytössä sekä SMS- että Push-todennus, vain SMS toimii.

  • Käyttäjä, jolla ei ole 2FA:ta / valkoisen listan käyttäjä: Käyttäjät kirjautuvat sisään kirjautumistunnuksillaan. ESA validoi salasanan.

Asiakas vahvistaa käyttäjänimen ja salasanan

Varmista, että VPN tukee tätä ja on määritetty oikein. Virheellinen konfigurointi voi johtaa salasanan tarkistuksen ohittamiseen. Jos asetat Client Type (Asiakastyyppi) -asetukseksi Client validates username and password (Asiakas vahvistaa käyttäjätunnuksen ja salasanan ), kun määrität RADIUS-asiakasta ESA:n verkkokonsolissa, ensimmäinen tekijä (käyttäjätunnus ja salasana) vahvistetaan AD:llä.

Vaatimukset

Määritä yksi todennus, joka osoittaa palvelimeesi, ja yksi RADIUS-todennus, joka osoittaa ESA:n RADIUS-palvelimeen.

Miten se toimii?
VPN tarjoaa kaksi salasanakenttää, joista ensimmäinen on tarkoitettu käyttäjän salasanalle ja toinen OTP:lle.
  • Tekstiviestipohjaiset OTP:t - vaaditaan kaksi kirjautumisyritystä. Ensin käyttäjät syöttävät salasanansa ensimmäiseen salasanakenttään ja kirjoittavat sitten sms ilman lainausmerkkejä. Jos käyttäjätunnus ja salasana on annettu oikein, kirjautumisnäyttö avautuu uudelleen ilman virheilmoitusta, ja käyttäjä saa OTP:n tekstiviestillä. Toisella kirjautumisyrityksellä käyttäjä syöttää saadun OTP:n toiseen salasanakenttään.
  • Mobiilisovelluksen OTP:t / Hard Token OTP:t - Käyttäjät syöttävät luodun OTP:n toiseen salasanakenttään.
  • Mobiilisovelluksen push-käyttäjät syöttävät kenttään "empty", "none" käyttäjätunnuksen tai "push" ilman lainausmerkkejä. ESA luo push-ilmoituksen ja odottaa sen hyväksyntää.
  • Käyttäjä, jolla ei ole 2FA:ta / valkoiselle listalle merkitty käyttäjä: Käyttäjät jättävät toisen salasanakentän tyhjäksi tai kirjoittavat kenttään "none" tai "push" ilman lainausmerkkejä.

Käytä RADIUSin Access-Challenge-ominaisuutta

Käytä tätä vaihtoehtoa, jos VPN-palvelimesi ottaa yhteyttä vain ESA RADIUSiin molempien tekijöiden (käyttäjänimi ja salasana ensimmäisenä tekijänä ja OTP toisena tekijänä) tarkistamiseksi, mutta todennus koostuu kahdesta vaiheesta.

Seuraavat RADIUS-asiakkaat tukevat RADIUS Access-Challenge -ominaisuutta:

  • Junos Pulse (VPN)
  • Linuxin PAM-moduuli

Seuraavia RADIUS-asiakkaita ei pidä käyttää Access-Challenge-ominaisuuden kanssa:

  • Microsoft RRAS
Vaatimukset

Määritä VPN-yhteyden todennus käyttämään RADIUS-todennusta, joka osoittaa ESA Web Consolessa määritettyyn RADIUS-palvelimeen.

Miten se toimii?
Kirjautumisessa on 2 vaihetta, yleinen kirjautuminen ja OTP:n syöttäminen tai push-ilmoituksen hyväksyminen. VPN näyttää ponnahdusikkunan tai toisen sivun OTP:n syöttämistä varten tai odottaa push-ilmoituksen hyväksyntää.
  • SMS-todennus: Käyttäjät kirjautuvat sisään kirjautumistunnuksillaan, seuraavassa näytössä tai ponnahdusikkunassa he syöttävät tekstiviestillä saadun OTP:n.
  • Mobiili OTP / Hard Token: Käyttäjät kirjautuvat sisään kirjautumistunnuksillaan, seuraavassa näytössä tai ponnahdusikkunassa he syöttävät luodun OTP:n.
  • Push-todennus: Käyttäjät kirjautuvat sisään kirjautumistunnuksillaan ja hyväksyvät luodun push-ilmoituksen.
Push-todennus

Jos käyttäjällä on käytössä vain Push-todennus, seuraavalla sivulla ei näytetä OTP-pyyntöä tai ilmoiteta push-ilmoituksen odottavasta hyväksymisestä, mutta käyttäjän on kuitenkin hyväksyttävä push-ilmoitus. Jos hän ei tee niin, kirjautumisyritys epäonnistuu.

  • Käyttäjä, jolla ei ole 2FA:ta / valkoisen listan käyttäjä: Käyttäjät käyttävät vain kirjautumistunnuksia.

Asiakas ei validoi käyttäjänimeä ja salasanaa - vältä yhdistelmää

Käytä tätä vaihtoehtoa vain, jos VPN-palvelimesi käyttää MS-CHAPv2:ta (jossa yhdistelmäsalasanaa ei tueta) ja se ottaa yhteyttä ESA RADIUSiin molempien tekijöiden tarkistamiseksi (käyttäjänimi ja salasana ensimmäisenä tekijänä ja OTP toisena tekijänä).
Vaatimukset

Määritä VPN-yhteyden todennus käyttämään RADIUS-todennusta, joka osoittaa ESA Web Consolessa määritettyyn RADIUS-palvelimeen.

Miten se toimii?
  • Tekstiviestipohjaiset OTP:t, Mobiilisovelluksen push - Ensimmäisellä kirjautumisyrityksellä käyttäjää pyydetään antamaan salasana. Kirjautumisyritys epäonnistuu, mutta käyttäjä saa OTP:n tekstiviestillä. Toisella kirjautumisyrityksellä käyttäjä syöttää saamansa OTP:n salasanakenttään.
  • Mobiilisovelluksen OTP:t / Hard Token OTP:t - Käyttäjän ei tarvitse syöttää salasanaa, ainoastaan OTP:n. Turvallisuusriskin pienentämiseksi pakota mobiilisovelluksen PIN-koodi:
    1. Siirry ESA-verkkokonsolissa kohtaan Asetukset > Mobiilisovellus.
    2. Kytke päälle Käyttäjien on käytettävä PIN-koodia.
    3. Napsauta Tallenna.
  • Käyttäjä, jolla ei ole 2FA:ta / valkoisen listan käyttäjä: Käyttäjät kirjautuvat sisään käyttämällä kirjautumistietojaan. ESA tarkistaa salasanan.

<poistettu>

ESA-versiossa 2.8 ja sitä aikaisemmissa versioissa järjestelmänvalvoja saattoi päätyä epäjohdonmukaisiin asetuksiin Client does not validate username and password (Asiakas ei vahvista käyttäjänimeä ja salasanaa ) ja Client validates username and password (Asiakas vahvistaa käyttäjänimen ja salasanan ) -asiakastyyppi. ESA 3.0:ssa tällaiset määritetyt asiakastyypit on merkitty <poistettu>. Suosittelemme käyttämään tällaisten asiakastyyppien vastaavaa ei-taantunutta versiota.

Esimerkkejä integrointioppaista

Napsauta asianmukaista linkkiä alla, jos haluat tarkastella ESET Secure Authentication -integrointiopasta kokoonpanoasi varten. Integrointioppaat on tarkoitettu käytettäväksi yhdessä ESET Secure Authentication Verifying ESA RADIUS -toiminnallisuuden todentaminen -asiakirjan kanssa. Huomaa, että jotkin oppaat saattavat olla vanhentuneita ja toimivat esimerkkinä. Ajantasaisen integrointioppaan saat VPN-laitteesi toimittajalta edellä kuvattujen tuettujen Client-tyyppien osalta.

VPN-, palomuuri- ja UTM-päätepisteet:

Pilvi- ja VDI-päätteet

  • #@##publication_url id='781' target='_blank' content='Citrix XenApp server' focus=''#@#

Sovelluskohtaisten integrointioppaiden lisäksi suosittelemme, että luet myös ESET Secure Authenticationin online-ohjeen, kun otat käyttöön ESET Secure Authenticationin. Jos aiot lisätä ESET Secure Authenticationin olemassa olevaan sovellukseen ESET Secure Authentication API:n avulla, saatavilla on myös ESET Secure Authentication API -käyttöopas ja ESET Secure Authentication SSL-sertifikaatin korvaus -asiakirjat.

Edellinen päivitys: 21.11.2025

Lisäresurssit

Käyttöoppaat

ESET-foorumi

Youtube-videot
ESET Status Portal ESET Technical Support

Olemassa oleva asiakas?