[KB3403] Az ESET Secure Authentication konfigurálása VPN, Felhő alapú és VDI megoldásokkal

Probléma

  • Az ESET Secure Authentication beállítása hitelesítő megoldásokkal

Megoldás

Kliens típusok

Az ESA az Active Directory (AD) környezetben végzett hitelesítés kezelésének módja alapján három kliens típust (például VPN) különböztet meg.

1. Nem a kliens hitelesíti a felhasználónevet és a jelszót

Valamennyi VPN-nek támogatnia kell ezt a forgatókönyvet. Ha az ESA webkonzolban a RADIUS kliens konfigurálása során a kliens típust "Client does not validate username and password" (A kliens nem hitelesíti a felhasználónevet és jelszót) értékre állítja, akkor mindkét faktor (a felhasználónév és jelszó páros az első faktor, az OTP (one-time-password) pedig a második faktor) az ESA által lesz hitelesítve.

Követelmények

A VPN kapcsolat hitelesítését úgy kell beállítani, hogy az a RADIUS-os hitelesítés legyen használatban, amely az ESA webkonzolban konfigurált RADIUS szerverre mutat.

Hogyan működik?

  • SMS-alapú OTP-k  - Az első bejelentkezéskor a felhasználónak meg kell adnia egy jelszót. A belépés meghiúsul, de a felhasználó kap SMS-ben egy OTP jelszót. A második belépési kísérletkor a felhasználónak az SMS-ben kapott jelszót kell megadnia a jelszó mezőben.
  • Mobil alkalmazás-alapú OTP-k / Hard Token OTP-k - A felhasználó egy időben használja a saját jelszavát és az OTP-s jelszót.
  • Push-alapú mobil alkalmazások - A felhasználó a belépési adatait használja. A felhasználó telefonján generálódik egy Push üzenet. Az üzenet elfogadását követően a beléptetés megtörténik.
SMS- és Push-alapú hitelesítés:

Ha a felhasználónak az SMS- és a Push-alapú hitelesítése is be van kapcsolva, akkor csak az SMS hitelesítés fog működni.

  • 2FA nélküli vagy fehérlistás felhasználók: A felhasználó a saját belépési adataival lép be, az ESA pedig hitelesíti a belépést.

2. A kliens hitelesíti a felhasználónevet és a jelszót

Ellenőrizze, hogy a VPN támogatja-e ezt a beállítást, és hogy megfelelően van-e konfigurálva. A helytelen konfigurálás a jelszó ellenőrzésének kihagyásához vezethet.  Ha az ESA webkonzolban a RADIUS kliens konfigurálása során a kliens típust "Client validates username and password" (A kliens hitelesíti a felhasználónevet és jelszót) értékre állítja, akkor az első faktor (a felhasználónév és jelszó páros) nem az ESA által lesz hitelesítve.

Követelmények

Állítson be egy hitelesítést úgy, hogy az az Ön szerverére mutasson, és egy másik RADIUS hitelesítést, hogy az pedig az ESA RADIUS szerverre mutasson.

Hogyan működik?

A VPN két jelszó mezőt biztosít, az egyiket a felhasználó jelszava számára, a másikat pedig az OTP jelszó számára.

  • SMS-alapú OTP-k - Két belépési kísérlet szükséges. Első alkalommal a felhasználó beírja a jelszavát az első jelszó mezőbe, a másodikba pedig az "sms" szót idézőjelek nélkül. Ha helyes felhasználónevet és jelszót adott meg, akkor a bejelentkezési képernyő hibaüzenet nélkül újra megjelenik és a felhasználó SMS-ben kap egy OTP jelszót. A második bejelentkezéskor a felhasználó beírja a kapott OTP jelszót a második jelszó mezőbe.
  • Mobil alkalmazás-alapú OTP-k / Hard token OTP-k - A felhasználó a generált OTP jelszót beírja a második jelszó mezőbe.
  • Push-alapú mobil alkalmazások - A felhasználó üresen hagyja a második jelszó mezőt vagy a "none" vagy a "push" szavakat írja be idézőjelek nélkül. Az ESA egy Push üzenetet fog generálni, majd vár annak elfogadására.
  • 2FA nélküli vagy fehérlistás felhasználók: A felhasználó üresen hagyja a második jelszó mezőt vagy a "none" vagy a "push" szavakat írja be idézőjelek nélkül.

3. A RADIUS Access-Challenge funkciójának használata

A következő RADIUS-kliensek támogatják a RADIUS Access-Challenge funkciót:

  • Junos Pulse (VPN)
  • Linux PAM module

A következő RADIUS-kliensek RADIUS Access-Challenge funkciós használata nem ajánlott:

  • Microsoft RRAS

Követelmények

A VPN kapcsolat hitelesítését úgy kell beállítani, hogy az a RADIUS-os hitelesítés legyen használatban, amely az ESA webkonzolban konfigurált RADIUS szerverre mutat.

Hogyan működik?

A bejelentkezésnek két fázisa van: általános bejelentkezés és az OTP jelszó megadása vagy Push értesítés jóváhagyása. A VPN megjelenít egy felugró párbeszédablakot vagy más oldalt az OTP jelszó megadásához, vagy vár a Push értesítés jóváhagyására.

  • SMS-es hitelesítés: A felhasználók bejelentkezési adataikkal lépnek be, a következő képernyőn vagy felugró párbeszédablakban pedig beírják az SMS-ben kapott OTP jelszót.
  • Mobil OTP / Hard Token: A felhasználók bejelentkezési adataikkal lépnek be, a következő képernyőn vagy felugró párbeszédablakban pedig beírják a generált OTP jelszót.
  • Push hitelesítés: A felhasználók bejelentkezési adataikkal lépnek be, majd pedig jóváhagyják a Push értesítést.
Push hitelesítés:

Ha a felhasználónak csak a Push hitelesítés van bekapcsolva, akkor nem fog megjelenni semmilyen oldal az OTP jelszó bekérésére vagy értesítés függöben lévő Push értesítésről, de ettől függetlenül a felhasználónak jóvá kell hagynia a Push értesítést. Ha nem teszi, akkor a bejelentkezési kísérlet sikertelen lesz.

  • 2FA nélküli vagy fehérlistás felhasználók: A felhasználónak a belépéshez csak a saját belépési adatait kell használnia.

Az ESET Secure Authentication integrációs beállítási segédletének megtekintéséhez kattintson alább a megfelelő eszköz nevére. Ezek a segédletek úgy lettek elkészítve, hogy azok az ESA RADIUS működését leíró dokumentummal (ESET Secure Authentication Verifying ESA RADIUS functionality) együtt használhatók legyenek. Kérjük, vegye figyelembe, hogy néhány útmutató elavult lehet így csak mintaként szolgálhat. A legfrissebb integrációs útmutatókért keresse fel a VPN-eszköz forgalmazóját a fent leírt támogatott klienstípusokkal kapcsolatban.

VPN tűzfal és UTM megoldások:

Felhő és VDI megoldások

Az ESET Secure Authentication implementálásakor javasoljuk, hogy a fenti eszközspecifikus leíráson kívül olvassa át az ESET Secure Authentication Product Manual-t vagy korábbi 1.X verzió esetén az ESET Secure Authentication Installation Guide-ot. Amennyiben azt tervezi, hogy az ESET Secure Authentication alkalmazást egy, már meglévő alkalmazáshoz rendeli az ESET Secure Authentication API segítségével, akkor a konfiguráláshoz az ESET Secure Authentication API User Guide és az ESET Secure Authentication SSL Certificate Replacement dokumentumok is rendelkezésére állnak.