Problema
- Sukonfigūruokite ESET Secure Authentication (ESA) naudojimui su autentifikavimo galiniu tašku
- Klientas nepatvirtina naudotojo vardo ir slaptažodžio
- Klientas patvirtina vartotojo vardą ir slaptažodį
- Naudokite RADIUS prieigos iššūkio funkciją
- Klientas nepatvirtina vartotojo vardo ir slaptažodžio - venkite junginio
- <deprecated>
- Integracijos vadovų pavyzdžiai
Sprendimas
ESA skiria tris klientų tipus (pavyzdžiui, VPN) pagal tai, kaip jie tvarko autentifikavimą "Active Directory" (AD) aplinkoje.
Klientas nepatvirtina vartotojo vardo ir slaptažodžio
Šį scenarijų turėtų palaikyti visi VPN. Jei konfigūruodami RADIUS klientą ESA interneto konsolėje nustatote Kliento tipą į Klientas nepatvirtina vartotojo vardo ir slaptažodžio, abu veiksnius (vartotojo vardą ir slaptažodį kaip pirmąjį veiksnį ir OTP kaip antrąjį veiksnį) tikrina ESA.
Reikalavimai
Sukonfigūruokite VPN ryšio autentiškumo patvirtinimą taip, kad būtų naudojamas RADIUS autentiškumo patvirtinimas, nukreiptas į RADIUS serverį, kurį sukonfigūravote ESA interneto konsolėje.
Kaip tai veikia?
- SMS pagrįsti OTP- pirmojo bandymo prisijungtimetu naudotojo paprašoma įvesti slaptažodį. Bandymas prisijungti nepavyksta, tačiau naudotojas SMS žinute gauna OTP. Antrą kartą bandydamas prisijungti, naudotojas į slaptažodžio lauką įveda gautą OTP.
- Mobiliosios programėlės OTP / kietieji žetonai OTP - naudotojas prisijungia naudodamas ir slaptažodį, ir OTP tuo pačiu metu kaip slaptažodisOTP.
- Mobiliosios programėlės Push-Užsakovai bando prisijungti naudodami savo prisijungimo duomenis. Naudotojo mobiliajame įrenginyje sukuriamas stumiamasis pranešimas. Patvirtinus pranešimą, prisijungimas būna sėkmingas.
- Naudotojas be 2FA / į baltąjį sąrašą įtrauktas naudotojas: Vartotojai prisijungia naudodami savo prisijungimo duomenis. ESA patvirtina slaptažodį.
Klientas patvirtina vartotojo vardą ir slaptažodį
Įsitikinkite, kad VPN palaiko šią funkciją ir yra tinkamai sukonfigūruotas. Dėl neteisingos konfigūracijos slaptažodžio tikrinimas gali būti praleistas. Jei konfigūruodami RADIUS klientą ESA interneto konsolėje nustatote Client Type (Kliento tipas) į Client validates username and password (Klientas tikrina vartotojo vardą ir slaptažodį ), pirmąjį veiksnį (vartotojo vardą ir slaptažodį) tikrina AD.
Reikalavimai
Nustatykite vieną autentifikavimą, nukreiptą į jūsų serverį, ir vieną RADIUS autentifikavimą, nukreiptą į ESA RADIUS serverį.
Kaip tai veikia?
- SMS pagrįsti OTP- reikalingi du prisijungimo bandymai. Pirmiausia naudotojai į pirmąjį slaptažodžio lauką įveda savo slaptažodį, tada įveda
smsbe kabučių. Jei pateikiamas teisingas vartotojo vardas ir slaptažodis, prisijungimo ekranas vėl rodomas be jokio klaidos pranešimo, o naudotojas SMS žinute gauna OTP. Antrą kartą bandydamas prisijungti, naudotojas į antrąjį slaptažodžio lauką įveda gautą OTP.
- Mobiliosios programėlės OTP / kietojo žetono OTP - naudotojas įveda sugeneruotą OTP į antrąjį slaptažodžio lauką.
- Mobile Application Push (Mobilioji programa Push)-Veikėjai į tą lauką įveda "empty" (tuščias), "none" (nėra) vartotojo vardą arba "push" (stumti) be kabučių. ESA sukuria stumiamąjį pranešimą ir laukia jo patvirtinimo.
- Vartotojas be 2FA / į baltąjį sąrašą įtrauktas vartotojas: Vartotojai palieka antrąjį slaptažodžio lauką tuščią arba į tą lauką įrašo "none" arba "push" be kabučių.
Naudokite RADIUS prieigos iššūkio funkciją
Naudokite šią parinktį, jei jūsų VPN serveris kreipiasi tik į ESA RADIUS, kad patikrintų abu veiksnius (vartotojo vardą ir slaptažodį kaip pirmąjį veiksnį ir OTP kaip antrąjį veiksnį), tačiau autentifikavimas susideda iš dviejų etapų.
RADIUS prieigos iššūkio funkciją palaiko šie RADIUS klientai:
- Junos Pulse (VPN)
- Linux PAM modulis
Toliau išvardyti RADIUS klientai neturėtų būti naudojami su "Access-Challenge" funkcija:
- "Microsoft RRAS
Reikalavimai
Sukonfigūruokite VPN ryšio autentiškumo patvirtinimą taip, kad būtų naudojamas RADIUS autentiškumo patvirtinimas, nukreiptas į RADIUS serverį, kurį sukonfigūravote ESA Web Console.
Kaip tai veikia?
- SMS autentiškumo patvirtinimas: Vartotojai prisijungia naudodami savo prisijungimo duomenis, kitame ekrane arba iššokančiame dialogo lange įveda SMS žinute gautą OTP.
- Mobilusis OTP / kietasis žetonas: Vartotojai prisijungia naudodami savo prisijungimo duomenis, kitame ekrane arba iššokančiame dialogo lange įveda sugeneruotą OTP.
- Autentiškumo patvirtinimas "Push" būdu: Vartotojai prisijungia naudodami savo prisijungimo duomenis ir patvirtina sugeneruotą stumiamąjį pranešimą.
- Naudotojas, neturintis 2FA / įtrauktas į baltąjį sąrašą: Vartotojai naudoja tik prisijungimo duomenis.
Klientas nepatvirtina naudotojo vardo ir slaptažodžio - venkite junginio
Reikalavimai
Sukonfigūruokite VPN ryšio autentiškumo patvirtinimą taip, kad būtų naudojamas RADIUS autentiškumo patvirtinimas, nukreiptas į RADIUS serverį, kurį sukonfigūravote ESA interneto konsolėje.
Kaip tai veikia?
- SMS pagrįsti OTP, mobiliosios programėlės "Push" - pirmojo bandymo prisijungti metu naudotojo paprašoma įvesti slaptažodį. Bandymas prisijungti nepavyksta, tačiau naudotojas SMS žinute gauna OTP. Antrą kartą bandydamas prisijungti, naudotojas į slaptažodžio lauką įveda gautą OTP.
- Mobiliosios programėlės OTP / kietojo žetono OTP - naudotojams nereikia įvesti slaptažodžio, tik OTP. Norėdami sumažinti saugumo riziką, priverstinai įveskite mobiliosios programėlės PIN kodą:
- ESA žiniatinklio konsolėje eikite į Settings (Nustatymai) > Mobile Application (Mobilioji programa).
- Įjunkite parinktį Users Must Use a PIN Code (Naudotojai privalo naudoti PIN kodą).
- Spustelėkite Išsaugoti.
- Naudotojas be 2FA / į baltąjį sąrašą įtrauktas naudotojas: Vartotojai prisijungia naudodami savo prisijungimo duomenis. ESA patvirtina slaptažodį.
<deprecated>
ESA 2.8 versijoje ir ankstesnėse versijose administratorius galėjo gauti nesuderintus nustatymus Klientas netvirtina vartotojo vardo ir slaptažodžio ir Klientas tvirtina vartotojo vardą ir slaptažodį kliento tipas. ESA 3.0 versijoje tokie sukonfigūruoti kliento tipai žymimi kaip<deprecated>. Rekomenduojame naudoti atitinkamą nepasenusių tokių kliento tipų versiją.Integracijos vadovų pavyzdžiai
Spustelėkite atitinkamą toliau pateiktą nuorodą, kad peržiūrėtumėte savo konfigūracijai skirtą ESET Secure Authentication integracijos vadovą. Integracijos vadovai yra skirti naudoti kartu su ESET Secure Authentication ESA RADIUS funkcionalumo tikrinimo dokumentu. Atkreipkite dėmesį, kad kai kurie vadovai gali būti pasenę ir naudojami kaip pavyzdžiai. Dėl aktualaus integracijos vadovo kreipkitės į savo VPN įrenginio tiekėją dėl palaikomų Klientų tipų, aprašytų aukščiau.
VPN, ugniasienės ir UTM galiniai taškai:
- Barracuda
- Check Point Software
- Cisco ASA IPsec
- Cisco ASA SSL
- Citrix Access Gateway
- Citrix Netscaler
- Cyberoam
- Fortinet Fortigate
- Microsoft Forefront Threat Management Gateway
- Netasq
Debesijos ir VDI galiniai taškai
Be konkrečioms programoms skirtų integracijos vadovų, diegdami ESET Secure Authentication rekomenduojame perskaityti ir ESET Secure Authentication internetinę pagalbą. Jei planuojate pridėti ESET Secure Authentication prie esamos programos naudodami ESET Secure Authentication API, taip pat galite naudotis ESET Secure Authentication API naudotojo vadovu ir ESET Secure Authentication SSL sertifikato pakeitimo dokumentais.
