[KB3403] Configurare il mio endpoint di autenticazione per l'uso con ESET Secure Authentication

• Configurare ESET Secure Authentication (ESA) per l'uso con l'endpoint di autenticazione
• Il client non convalida il nome utente e la password
• Il client convalida nome utente e password
• Utilizzare la funzione Access-Challenge di RADIUS
• Il client non convalida nome utente e password - evitare il composto
• <deprecato>
• Esempi di guide all'integrazione

ESA distingue tre tipi di client (ad esempio, le VPN) in base al modo in cui gestiscono l'autenticazione in un ambiente Active Directory (AD).

Il client non convalida nome utente e password

Tutte le VPN dovrebbero supportare questo scenario. Se si imposta Tipo di client su Client non convalida nome utente e password quando si configura un client RADIUS nella Console web di ESA, entrambi i fattori (nome utente e password come primo fattore e OTP come secondo fattore) vengono verificati da ESA.

Requisiti

Configurare l'autenticazione della connessione VPN in modo da utilizzare l'autenticazione RADIUS che punta a un server RADIUS configurato in ESA Web Console.

Come funziona?

• OTP basati su SMS: al primo tentativo di accesso, all'utente viene richiesta una password. Il tentativo di login fallisce, ma l'utente riceve un OTP via SMS. Al secondo tentativo di accesso, l'utente inserisce l'OTP ricevuto nel campo della password.

• Applicazione mobile OTP / Hard Token OTP: gli utenti effettuano il login utilizzando contemporaneamente la password e l'OTP come passwordOTP.

• Applicazione mobile Push: gli utenti tentano di accedere utilizzando le proprie credenziali di accesso. Sul dispositivo mobile dell'utente viene generata una notifica push. L'approvazione della notifica determina il successo dell'accesso.

• Utente senza 2FA / utente whitelisted: Gli utenti accedono utilizzando le proprie credenziali di accesso. L'ESA convalida la password.

Il client convalida nome utente e password

Assicurarsi che la VPN supporti questa funzione e sia configurata correttamente. Una configurazione errata può portare a saltare la verifica della password. Se si imposta Tipo di client su Client convalida nome utente e password quando si configura un client RADIUS nella console Web ESA, il primo fattore (nome utente e password) viene convalidato da AD.

Requisiti

Configurare un'autenticazione che punta al proprio server e un'autenticazione RADIUS che punta al server RADIUS di ESA.

Come funziona?

• OTP via SMS: sono necessari due tentativi di accesso. In primo luogo, gli utenti inseriscono la propria password nel primo campo password, quindi digitano sms, senza virgolette. Se il nome utente e la password sono corretti, la schermata di accesso viene visualizzata nuovamente senza alcun messaggio di errore e l'utente riceve un OTP via SMS. Al secondo tentativo di accesso, l'utente inserisce l'OTP ricevuto nel campo della seconda password.

• Applicazione mobile OTP / Hard Token OTP: l'utente inserisce l'OTP generato nel campo della seconda password.

• Applicazione mobile Push: l'utente inserisce "vuoto", "nessuno" nome utente o "push" senza virgolette in questo campo. L'ESA genera una notifica push e attende la sua approvazione.

• Utente senza 2FA / utente whitelisted: Gli utenti lasciano vuoto il campo della seconda password, oppure digitano "nessuno" o "push" senza virgolette in tale campo.

Utilizzare la funzione Access-Challenge di RADIUS

Utilizzare questa opzione se il server VPN contatta solo ESA RADIUS per verificare entrambi i fattori (nome utente e password come primo fattore e OTP come secondo fattore), ma l'autenticazione consiste in due fasi.

I seguenti client RADIUS supportano la funzione RADIUS Access-Challenge:

• Junos Pulse (VPN)
• Modulo PAM di Linux

I seguenti client RADIUS non devono essere utilizzati con la funzione Access-Challenge:

• Microsoft RRAS

Requisiti

Configurare l'autenticazione della connessione VPN per utilizzare l'autenticazione RADIUS che punta a un server RADIUS configurato in ESA Web Console.

Come funziona?

• Autenticazione via SMS: Gli utenti accedono utilizzando le proprie credenziali di accesso, nella schermata successiva o nella finestra di dialogo a comparsa inseriscono l'OTP ricevuto via SMS.

• OTP mobile / Hard Token: Gli utenti accedono utilizzando le proprie credenziali di accesso, nella schermata successiva o nella finestra di dialogo a comparsa inseriscono l'OTP generato.

• Autenticazione push: Gli utenti accedono utilizzando le proprie credenziali di accesso e approvano la notifica push generata.

• Utente senza 2FA / utente whitelisted: Gli utenti utilizzano solo le credenziali di accesso.

Il client non convalida il nome utente e la password - evitare il composto

Requisiti

Esempi di guide all'integrazione

Fare clic sul link appropriato di seguito per visualizzare la guida all'integrazione di ESET Secure Authentication per la propria configurazione. Le guide all'integrazione sono progettate per essere utilizzate in combinazione con il documento ESET Secure Authentication Verifying ESA RADIUS functionality. Si noti che alcune guide potrebbero essere obsolete e servono da esempio. Per ottenere una guida all'integrazione aggiornata, consultare il fornitore della propria appliance VPN per quanto riguarda i tipi di client supportati descritti sopra.

Endpoint VPN, Firewall e UTM:

• Barracuda
• Check Point Software
• Cisco ASA IPsec
• Cisco ASA SSL
• Citrix Access Gateway
• Citrix Netscaler
• Cyberoam
• Fortinet Fortigate
• Microsoft Forefront Threat Management Gateway
• Netasq

Endpoint cloud e VDI

• Citrix XenApp server

Oltre alle guide all'integrazione specifiche per le applicazioni, si consiglia di leggere anche la guida online di ESET Secure Authentication quando si implementa ESET Secure Authentication. Se si intende aggiungere ESET Secure Authentication a un'applicazione esistente utilizzando ESET Secure Authentication API, sono disponibili anche i documenti ESET Secure Authentication API User Guide e ESET Secure Authentication SSL Certificate Replacement.