[KB3403] Mijn authenticatie-eindpunt configureren voor gebruik met ESET Secure Authentication

OPMERKING:

Deze pagina is vertaald door een computer. Klik op English onder Languages op deze pagina om de originele tekst weer te geven. Als u iets onduidelijk vindt, neem dan contact op met uw lokale support.

Uitgave

Oplossing

ESA onderscheidt drie clienttypes (bijvoorbeeld VPN's) op basis van de manier waarop ze verificatie afhandelen in een Active Directory (AD) omgeving.

Client valideert gebruikersnaam en wachtwoord niet

Alle VPN's moeten dit scenario ondersteunen. Als je Client Type instelt op Client valideert gebruikersnaam en wachtwoord niet bij het configureren van een RADIUS client in de ESA Web Console, worden beide factoren (gebruikersnaam en wachtwoord als eerste factor en OTP als tweede factor) geverifieerd door ESA.

Vereisten

Configureer de verificatie van je VPN-verbinding om RADIUS-verificatie te gebruiken die wijst naar een RADIUS-server die je hebt geconfigureerd in ESA Web Console.

Hoe werkt het?

  • SMS-gebaseerde OTP's - Bij de eerste inlogpoging wordt de gebruiker gevraagd om een wachtwoord. De aanmeldpoging mislukt, maar de gebruiker ontvangt een OTP via sms. Bij de tweede inlogpoging voert de gebruiker de ontvangen OTP in het wachtwoordveld in.
  • Mobiele applicatie OTP's / Hard Token OTP's - Gebruikers loggen in met zowel hun wachtwoord als hun OTP op hetzelfde moment als passwordOTP.
  • Push mobiele applicatie: gebruikers proberen in te loggen met hun inloggegevens. Er wordt een pushmelding gegenereerd op het mobiele apparaat van de gebruiker. Het goedkeuren van de melding resulteert in een succesvolle aanmelding.
SMS en Push verificatie

Als een gebruiker zowel SMS als Push verificatie heeft ingeschakeld, zal alleen SMS werken.

  • Gebruiker zonder 2FA / gebruiker met witte lijst: Gebruikers loggen in met hun aanmeldingsgegevens. ESA valideert het wachtwoord.

Client valideert gebruikersnaam en wachtwoord

Zorg ervoor dat het VPN dit ondersteunt en correct is geconfigureerd. Een onjuiste configuratie kan ertoe leiden dat de wachtwoordverificatie wordt overgeslagen. Als je Client Type instelt op Client validates username and password bij het configureren van een RADIUS client in de ESA Web console, dan wordt de eerste factor (gebruikersnaam en wachtwoord) gevalideerd door AD.

Vereisten

Stel één authenticatie in die naar je eigen server wijst en één RADIUS authenticatie die naar de ESA RADIUS server wijst.

Hoe werkt het?
VPN biedt twee wachtwoordvelden, het eerste voor het wachtwoord van de gebruiker en het tweede voor OTP.
  • SMS-gebaseerde OTP's - Er zijn twee aanmeldpogingen nodig. Eerst voeren gebruikers hun wachtwoord in het eerste wachtwoordveld in en typen dan sms, zonder aanhalingstekens. Als de gebruikersnaam en het wachtwoord correct zijn, verschijnt het inlogscherm opnieuw zonder foutmelding en ontvangt de gebruiker een OTP via sms. Bij de tweede inlogpoging voert de gebruiker de ontvangen OTP in het tweede wachtwoordveld in.
  • Mobiele applicatie OTP's / Hard Token OTP's - Gebruikers voeren de gegenereerde OTP in het tweede wachtwoordveld in.
  • Mobiele applicatie push: Gebruikers voeren in dat veld "leeg", "geen" gebruikersnaam of "push" zonder aanhalingstekens in. ESA genereert een pushmelding en wacht op goedkeuring.
  • Gebruiker zonder 2FA / gebruiker met witte lijst: Gebruikers laten het tweede wachtwoordveld leeg of typen "none" of "push" zonder aanhalingstekens in dat veld.

Gebruik de toegangswachtfunctie van RADIUS

Gebruik deze optie als uw VPN-server alleen contact opneemt met ESA RADIUS om beide factoren te verifiëren (gebruikersnaam en wachtwoord als eerste factor en OTP als tweede factor), maar de verificatie uit twee stappen bestaat.

De volgende RADIUS clients ondersteunen de RADIUS Access-Challenge functie:

  • Junos Pulse (VPN)
  • Linux PAM-module

De volgende RADIUS-clients mogen niet worden gebruikt met de functie Access-Challenge:

  • Microsoft RRAS
Vereisten

Configureer de authenticatie van je VPN verbinding om RADIUS authenticatie te gebruiken die wijst naar een RADIUS server die je hebt geconfigureerd in ESA Web Console.

Hoe werkt het?
Het inloggen bestaat uit 2 fasen, algemeen inloggen en het invoeren van OTP of het goedkeuren van een pushmelding. Het VPN geeft een pop-upvenster of een andere pagina weer om de OTP in te voeren of wacht op goedkeuring van de pushmelding.
  • SMS-authenticatie: Gebruikers loggen in met hun inloggegevens, in het volgende scherm of popupdialoog voeren ze de OTP in die ze via sms hebben ontvangen.
  • Mobiele OTP / Hard Token: Gebruikers loggen in met hun inloggegevens, in het volgende scherm of popupdialoog voeren ze de gegenereerde OTP in.
  • Push-authenticatie: Gebruikers loggen in met hun inloggegevens en keuren de gegenereerde pushmelding goed.
Push-authenticatie

Als de gebruiker alleen Push authenticatie heeft ingeschakeld, wordt er geen volgende pagina weergegeven om OTP op te vragen of om te informeren over de lopende goedkeuring van de push notificatie, maar de gebruiker moet de push notificatie wel goedkeuren. Als hij dat niet doet, mislukt de aanmeldpoging.

  • Gebruiker zonder 2FA / gebruiker met witte lijst: Gebruikers gebruiken alleen inloggegevens.

Client valideert gebruikersnaam en wachtwoord niet - samenstelling vermijden

Gebruik deze optie alleen als uw VPN-server MS-CHAPv2 gebruikt (waar een samengesteld wachtwoord niet wordt ondersteund), en het contact opneemt met ESA RADIUS om beide factoren te verifiëren (gebruikersnaam en wachtwoord als eerste factor, en OTP als tweede factor).
Vereisten

Configureer de verificatie van uw VPN-verbinding om RADIUS-verificatie te gebruiken die wijst naar een RADIUS-server die u hebt geconfigureerd in ESA Web Console.

Hoe werkt het?
  • SMS-gebaseerde OTP's, Mobile Application Push - Bij de eerste inlogpoging wordt de gebruiker gevraagd om een wachtwoord. De aanmeldpoging mislukt, maar de gebruiker ontvangt een OTP via sms. Bij de tweede inlogpoging voert de gebruiker de ontvangen OTP in het wachtwoordveld in.
  • Mobiele applicatie OTP's / Hard Token OTP's - Gebruikers hoeven hun wachtwoord niet in te voeren, alleen de OTP. Om het beveiligingsrisico te verlagen, kunt u een PIN-code voor mobiele toepassingen afdwingen:
    1. Ga in ESA Web Console naar Instellingen > Mobiele toepassing.
    2. Schakel Gebruikers moeten een PIN-code gebruiken in.
    3. Klik op Opslaan.
  • Gebruiker zonder 2FA / gebruiker met witte lijst: Gebruikers loggen in met hun aanmeldingsgegevens. ESA valideert het wachtwoord.

<verouderd>

In ESA versie 2.8 en eerder, kon de beheerder eindigen met inconsistente instellingen van Client valideert gebruikersnaam en wachtwoord niet en Client valideert gebruikersnaam en wachtwoord cliënttype. In ESA 3.0 worden zulke geconfigureerde clienttypes gelabeld als <deprecated>. We raden aan om de corresponderende niet-deprecated versie van zulke clienttypes te gebruiken.

Voorbeeld integratiegidsen

Klik op de link hieronder om de ESET Secure Authentication integratiegids voor uw configuratie te bekijken. De integratiegidsen zijn ontworpen om gebruikt te worden in combinatie met het ESET Secure Authentication Verifying ESA RADIUS functionality document. Sommige gidsen kunnen verouderd zijn en dienen als voorbeeld. Raadpleeg voor een actuele integratiegids de leverancier van uw VPN-appliance met betrekking tot de ondersteunde clienttypen die hierboven zijn beschreven.

VPN-, firewall- en UTM-eindpunten:

Cloud en VDI eindpunten

In aanvulling op de applicatiespecifieke integratiegidsen, raden wij u aan om ook de ESET Secure Authentication online help te lezen bij het implementeren van ESET Secure Authentication. Als u van plan bent ESET Secure Authentication toe te voegen aan een bestaande toepassing met behulp van de ESET Secure Authentication API, zijn de ESET Secure Authentication API Gebruikershandleiding en ESET Secure Authentication SSL Certificaat Vervanging documenten ook beschikbaar.

Laatst bijgewerkt: 4 mrt. 2026

Meer artikelen:

Documentatie

ESET Security Forum

Kennisbank video's
ESET Status Portal ESET Technical Support

Bestaande klant?