[KB3403] Hitelesítési végpontom konfigurálása az ESET Secure Authentication használatához

• Az ESET Secure Authentication (ESA) konfigurálása a hitelesítési végponttal való használathoz
• Az ügyfél nem érvényesíti a felhasználónevet és a jelszót
• Az ügyfél érvényesíti a felhasználónevet és a jelszót
• A RADIUS Access-Challenge funkciójának használata
• Az ügyfél nem érvényesíti a felhasználónevet és a jelszót - kerülje el az összetételt
• <‎deprecated>
• Minta integrációs útmutatók

Az ESA három ügyféltípust (például VPN-eket) különböztet meg az alapján, hogy hogyan kezelik a hitelesítést az Active Directory (AD) környezetben.

Az ügyfél nem érvényesíti a felhasználónevet és a jelszót

Minden VPN-nek támogatnia kell ezt a forgatókönyvet. Ha az ESA webkonzolban a RADIUS-ügyfél konfigurálásakor az Ügyfél típusa értéket az Ügyfél nem érvényesíti a felhasználónevet és a jelszót értékre állítja, az ESA mindkét tényezőt (felhasználónév és jelszó mint első tényező, valamint OTP mint második tényező) ellenőrzi.

Követelmények

Állítsa be a VPN-kapcsolat hitelesítését úgy, hogy a RADIUS-hitelesítés az ESA webkonzolban konfigurált RADIUS-kiszolgálóra mutasson. 

Hogyan működik?

• SMS-alapú OTP-k—Az első bejelentkezési kísérletnél a felhasználónak jelszót kell megadnia. A bejelentkezési kísérlet sikertelen, de a felhasználó SMS-ben kap egy OTP-t. A második bejelentkezési kísérletnél a felhasználó a kapott OTP-t írja be a jelszó mezőbe.

• Mobilalkalmazás OTP-k / Hard Token OTP-k—A felhasználók a jelszavukkal és az OTP-vel egyszerre jelszóOTP-ként jelentkeznek be.

• Mobilalkalmazás Push—A felhasználók megpróbálnak bejelentkezni a bejelentkezési adataikkal. A felhasználó mobilkészülékén push-értesítés jelenik meg. Az értesítés jóváhagyása sikeres bejelentkezést eredményez.

• 2FA nélküli felhasználó / fehérlistás felhasználó: A felhasználók bejelentkeznek a bejelentkezési adataikkal. Az ESA érvényesíti a jelszót.

Az ügyfél érvényesíti a felhasználónevet és a jelszót

Győződjön meg róla, hogy a VPN támogatja ezt, és helyesen van beállítva. A helytelen konfiguráció a jelszóellenőrzés kihagyásához vezethet. Ha az ESA webes konzolban a RADIUS-ügyfél konfigurálásakor az Ügyfél típusa értéket az Ügyfél érvényesíti a felhasználónevet és a jelszót értékeli értékre állítja, akkor az első tényezőt (felhasználónév és jelszó) az AD érvényesíti.

Követelmények

Állítson be egy hitelesítést, amely a kiszolgálójára mutat, és egy RADIUS-hitelesítést, amely az ESA RADIUS-kiszolgálójára mutat.

Hogyan működik?

• SMS-alapú OTP-k—Két bejelentkezési kísérletre van szükség. Először a felhasználók megadják jelszavukat az első jelszó mezőbe, majd beírják a következőt sms, idézőjelek nélkül. Ha a helyes felhasználónevet és jelszót adta meg, a bejelentkezési képernyő hibaüzenet nélkül újra megjelenik, és a felhasználó SMS-ben kap egy OTP-t. A második bejelentkezési kísérletnél a felhasználó a kapott OTP-t írja be a második jelszó mezőbe.

• Mobilalkalmazás OTP-k / Hard Token OTP-k—A felhasználók a generált OTP-t a második jelszó mezőbe írják be.

• Mobile Application Push—A felhasználók az "üres", "nincs" felhasználónevet vagy a "push" szót írják be idézőjelek nélkül ebbe a mezőbe. Az ESA létrehoz egy push-értesítést, és várja annak jóváhagyását.

• 2FA nélküli felhasználó / fehérlistás felhasználó: A felhasználók üresen hagyják a második jelszó mezőt, vagy idézőjelek nélkül beírják a "none" vagy "push" szót.

A RADIUS Access-Challenge funkciójának használata

Akkor használja ezt a beállítást, ha a VPN-kiszolgáló csak az ESA RADIUS-szal lép kapcsolatba mindkét tényező (felhasználónév és jelszó mint első tényező, valamint OTP mint második tényező) ellenőrzéséhez, de a hitelesítés két lépésből áll.

A következő RADIUS-ügyfelek támogatják a RADIUS Access-Challenge funkciót:

• Junos Pulse (VPN)
• Linux PAM modul

A következő RADIUS-ügyfelek nem használhatók az Access-Challenge funkcióval:

• Microsoft RRAS

Követelmények

Állítsa be a VPN-kapcsolat hitelesítését úgy, hogy a RADIUS-hitelesítés az ESA webkonzolban konfigurált RADIUS-kiszolgálóra mutasson. 

Hogyan működik?

• SMS-hitelesítés: A felhasználók bejelentkeznek a bejelentkezési adataikkal, a következő képernyőn vagy felugró párbeszédpanelen megadják az SMS-ben kapott OTP-t.

• Mobil OTP / Hard Token: A felhasználók bejelentkeznek a bejelentkezési adataikkal, a következő képernyőn vagy felugró párbeszédpanelen megadják a generált OTP-t.

• Push-hitelesítés: A felhasználók bejelentkeznek a bejelentkezési adataikkal, és jóváhagyják a generált push-értesítést.

• 2FA nélküli felhasználó / fehérlistás felhasználó: A felhasználók csak a bejelentkezési adatokat használják. 

Az ügyfél nem érvényesíti a felhasználónevet és a jelszót - kerülje el az összetételt

Követelmények

Minta integrációs útmutatók

Kattintson az alábbi megfelelő linkre az ESET Secure Authentication integrációs útmutatójának megtekintéséhez az Ön konfigurációjához. Az integrációs útmutatókat az ESET Secure Authentication Verifying ESA RADIUS functionality dokumentummal együtt kell használni. Vegye figyelembe, hogy az útmutatók némelyike elavult lehet, és mintaként szolgál. Naprakész integrációs útmutatóért forduljon a VPN-berendezés szállítójához a fent leírt támogatott ügyféltípusok tekintetében.

VPN, tűzfal és UTM végpontok:

• Barracuda
• Check Point szoftver
• Cisco ASA IPsec
• Cisco ASA SSL
• Citrix Access Gateway
• Citrix Netscaler
• Cyberoam
• Fortinet Fortigate
• Microsoft Forefront Threat Management Gateway
• Netasq

Felhő és VDI végpontok

• Citrix XenApp kiszolgáló

Az alkalmazásspecifikus integrációs útmutatók mellett az ESET Secure Authentication bevezetésekor javasoljuk, hogy olvassa el az ESET Secure Authentication online súgóját is. Ha az ESET Secure Authentication API segítségével kívánja hozzáadni az ESET Secure Authentication-t egy meglévő alkalmazáshoz, akkor az ESET Secure Authentication API felhasználói útmutatója és az ESET Secure Authentication SSL-tanúsítvány cseréje dokumentumok is rendelkezésre állnak.