[KB3403] Налаштування моєї кінцевої точки автентифікації для використання з ESET Secure Authentication

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Проблема

Рішення

ESA розрізняє три типи клієнтів (наприклад, VPN) залежно від того, як вони обробляють автентифікацію в середовищі Active Directory (AD).

Клієнт не перевіряє ім'я користувача та пароль

Всі VPN повинні підтримувати цей сценарій. Якщо під час налаштування RADIUS-клієнта у веб-консолі ESA встановити для параметра Тип клієнта значення Клієнт не перевіряє ім'я користувача та пароль, обидва фактори (ім'я користувача та пароль як перший фактор і OTP як другий фактор) перевірятимуться ESA.

Вимоги

Налаштуйте автентифікацію вашого VPN-з'єднання на використання автентифікації RADIUS, яка вказує на сервер RADIUS, налаштований у веб-консолі ESA.

Як це працює?

  • OTP на основі SMS - при першій спробі входу користувачеві буде запропоновано ввести пароль. Спроба входу закінчується невдачею, але користувач отримує OTP через SMS. При другій спробі входу користувач вводить отриманий OTP в поле для введення пароля.
  • OTP мобільного додатку / Hard Token OTP - Користувачі входять в систему, використовуючи одночасно пароль і OTP, а також парольOTP.
  • Push-клієнти мобільного додатку-користувачі намагаються увійти, використовуючи свої облікові дані для входу. На мобільний пристрій користувача генерується push-повідомлення. Підтвердження повідомлення призводить до успішного входу в систему.
SMS та Push-аутентифікація

Якщо у користувача увімкнена і SMS, і Push-аутентифікація, буде працювати тільки SMS.

  • Користувач без 2FA / користувач з білого списку: Користувачі входять, використовуючи свої облікові дані для входу. ESA перевіряє пароль.

Клієнт перевіряє ім'я користувача та пароль

Переконайтеся, що VPN підтримує цю функцію і налаштована правильно. Неправильне налаштування може призвести до пропуску перевірки пароля. Якщо під час налаштування RADIUS-клієнта у веб-консолі ESA ви встановите для параметра Тип клієнта значення Клієнт перевіряє ім'я користувача та пароль, то перший фактор (ім'я користувача та пароль) буде перевірено службою AD.

Вимоги

Налаштуйте одну автентифікацію, що вказує на ваш сервер, і одну автентифікацію RADIUS, що вказує на сервер RADIUS ESA.

Як це працює?
VPN надає два поля для введення пароля: перше - для пароля користувача, друге - для OTP.
  • OTP на основі SMS-повідомлень- потрібно дві спроби входу. Спочатку користувач вводить свій пароль у перше поле пароля, а потім набирає sms, без лапок. Якщо введені правильні ім'я користувача та пароль, знову з'явиться екран входу без жодних повідомлень про помилки, і користувач отримає OTP через SMS. Під час другої спроби входу користувач вводить отриманий OTP у друге поле для введення пароля.
  • OTP для мобільного додатку / OTP для твердого токена - Користувачі вводять згенероване OTP у друге поле для введення пароля.
  • Push для мобільного додатку - Користувачі вводять у це поле "пусте", "жодного" або "push" без лапок. ESA генерує push-повідомлення і чекає на його підтвердження.
  • Користувач без 2FA / користувач з білого списку: Користувачі залишають друге поле пароля порожнім або вводять у нього "none" чи "push" без лапок.

Використовувати функцію виклику доступу в RADIUS

Використовуйте цю опцію, якщо ваш VPN-сервер зв'язується лише з ESA RADIUS для перевірки обох факторів (ім'я користувача та пароль як перший фактор і OTP як другий фактор), але автентифікація складається з двох кроків.

Наступні клієнти RADIUS підтримують функцію RADIUS Access-Challenge:

  • Junos Pulse (VPN)
  • Linux PAM модуль

Наступні RADIUS-клієнти не слід використовувати з функцією Access-Challenge:

  • Microsoft RRAS
Вимоги

Налаштуйте автентифікацію вашого VPN-з'єднання на використання автентифікації RADIUS, яка вказує на сервер RADIUS, налаштований у веб-консолі ESA.

Як це працює?
Вхід складається з 2 етапів: загальний логін і введення OTP або схвалення push-повідомлення. VPN відображає спливаюче діалогове вікно або іншу сторінку для введення OTP або чекає на схвалення push-повідомлення.
  • SMS-аутентифікація: Користувачі входять в систему, використовуючи свої облікові дані для входу, в наступному вікні або спливаючому діалоговому вікні вони вводять OTP, отриманий за допомогою SMS.
  • Мобільний OTP / Hard Token: Користувачі входять в систему, використовуючи свої облікові дані, в наступному вікні або спливаючому діалоговому вікні вони вводять згенерований OTP.
  • Push-аутентифікація: Користувачі входять в систему, використовуючи свої облікові дані, і підтверджують згенероване пуш-повідомлення.
Push-аутентифікація

Якщо користувач увімкнув лише Push-аутентифікацію, не буде відображатися наступна сторінка для запиту OTP або інформування про очікування схвалення push-повідомлення, але користувач повинен схвалити push-повідомлення. Якщо він цього не зробить, спроба входу буде невдалою.

  • Користувач без 2FA / користувач з білого списку: Користувачі використовують лише облікові дані для входу.

Клієнт не перевіряє ім'я користувача та пароль - уникайте складних слів

Використовуйте цю опцію, тільки якщо ваш VPN-сервер використовує MS-CHAPv2 (де складний пароль не підтримується), і він зв'язується з ESA RADIUS для перевірки обох факторів (ім'я користувача та пароль як перший фактор, і OTP як другий фактор).
Вимоги

Налаштуйте автентифікацію вашого VPN-з'єднання на використання автентифікації RADIUS, вказавши сервер RADIUS, який ви налаштували у веб-консолі ESA.

Як це працює?
  • OTP на основі SMS, мобільний додаток Push-При першій спробі входу користувачеві буде запропоновано ввести пароль. Спроба входу не вдається, але користувач отримує OTP через SMS. При другій спробі входу користувач вводить отриманий OTP в поле для введення пароля.
  • OTP для мобільних додатків / Hard Token OTP - Користувачам не потрібно вводити свій пароль, тільки OTP. Щоб знизити ризик безпеки, примусово введіть PIN-код мобільного додатку:
    1. У веб-консолі ESA перейдіть до Налаштування > Мобільний додаток.
    2. Увімкніть опцію " Користувачі повинні використовувати PIN-код".
    3. Натисніть Зберегти.
  • Користувач без 2FA / користувач з білого списку: Користувачі входять, використовуючи свої облікові дані для входу. ESA перевіряє пароль.

<застарілий

У версіях ESA 2.8 і вище адміністратор міг отримати непослідовні налаштування типу клієнта Клієнт не перевіряє ім'я користувача та пароль і Клієнт перевіряє ім'я користувача та пароль. У ESA 3.0 такі налаштовані типи клієнтів позначено як <застарілі>. Ми рекомендуємо використовувати відповідні не застарілі версії таких типів клієнтів.

Приклади посібників з інтеграції

Клацніть відповідне посилання нижче, щоб переглянути посібник з інтеграції ESET Secure Authentication для вашої конфігурації. Посібники з інтеграції призначені для використання в поєднанні з документом про функціональність ESET Secure Authentication Verifying ESA RADIUS. Зверніть увагу, що деякі з посібників можуть бути застарілими та слугувати зразком. Щоб отримати актуальний посібник з інтеграції, зверніться до постачальника пристрою VPN щодо типів клієнтів, які підтримуються, описаних вище.

Кінцеві точки VPN, брандмауера та UTM:

Кінцеві точки у хмарі та VDI

На додаток до посібників з інтеграції для конкретних додатків, ми рекомендуємо також ознайомитися з онлайн-довідкою ESET Secure Authentication під час впровадження ESET Secure Authentication. Якщо ви плануєте додати ESET Secure Authentication до наявної програми за допомогою ESET Secure Authentication API, також доступні Посібник користувача ESET Secure Authentication API та Документи щодо заміни SSL-сертифіката ESET Secure Authentication.

Останнє оновлення: Mar 10, 2026

Додаткові ресурси

Посібники користувача

Форум ESET

Відео на YouTube
ESET Status Portal ESET Technical Support

Існуючий клієнт?