[KB3403] Konfigurere autentiseringsendepunktet mitt for bruk med ESET Secure Authentication

MERK:

Denne siden er oversatt av en datamaskin. Klikk på engelsk under Språk på denne siden for å se originalteksten. Hvis noe er uklart, kan du kontakte din lokale kundestøtte.

Problemstilling

Løsning

ESA skiller mellom tre klienttyper (for eksempel VPN-er) basert på måten de håndterer autentisering på i et Active Directory (AD)-miljø.

Klienten validerer ikke brukernavn og passord

Alle VPN-er bør støtte dette scenariet. Hvis du angir Klienttype til Klient validerer ikke brukernavn og passord når du konfigurerer en RADIUS-klient i ESAs nettkonsoll, blir begge faktorene (brukernavn og passord som første faktor og OTP som andre faktor) verifisert av ESA.

Krav

Konfigurer autentiseringen av VPN-tilkoblingen din til å bruke RADIUS-autentisering som peker til en RADIUS-server du har konfigurert i ESAs nettkonsoll.

Hvordan fungerer det?

  • SMS-baserte OTP-er- Ved første påloggingsforsøk blir brukeren bedt om å oppgi et passord. Innloggingsforsøket mislykkes, men brukeren mottar en OTP via SMS. Ved det andre påloggingsforsøket skriver brukeren inn OTP-en han/hun har mottatt i passordfeltet.
  • Mobile Application OTPs / Hard Token OTPs - Brukeren logger inn med både passord og OTP samtidig som passordOTP.
  • Push for mobilapplikasjon- Brukerne forsøker å logge på med påloggingsinformasjonen sin. Et push-varsel genereres på brukerens mobile enhet. Godkjenning av varselet resulterer i en vellykket innlogging.
SMS- og push-autentisering

Hvis en bruker har aktivert både SMS- og push-autentisering, er det bare SMS som fungerer.

  • Bruker uten 2FA / hvitelistet bruker: Brukeren logger inn med innloggingsinformasjonen sin. ESA validerer passordet.

Klienten validerer brukernavn og passord

Sørg for at VPN-et støtter dette og er riktig konfigurert. Feil konfigurasjon kan føre til at passordverifisering hoppes over. Hvis du angir Klienttype til Klient validerer brukernavn og passord når du konfigurerer en RADIUS-klient i ESAs nettkonsoll, blir den første faktoren (brukernavn og passord) validert av AD.

Krav

Konfigurer én autentisering som peker mot serveren din, og én RADIUS-autentisering som peker mot ESAs RADIUS-server.

Hvordan fungerer det?
VPN har to passordfelt, det første for brukerens passord og det andre for OTP.
  • SMS-baserte OTP-er - Det kreves to påloggingsforsøk. Først skriver brukerne inn passordet sitt i det første passordfeltet, og deretter skriver de sms, uten anførselstegn. Hvis riktig brukernavn og passord oppgis, vises påloggingsskjermen igjen uten feilmelding, og brukeren mottar en OTP via SMS. Ved det andre påloggingsforsøket skriver brukeren inn den mottatte OTP-en i det andre passordfeltet.
  • Mobile Application OTPs/ Hard Token OTPs-Brukeren skriver inn den genererte OTP-en i det andre passordfeltet.
  • Push for mobilapplikasjon- Brukeren skriver inn "empty", "none" brukernavn eller "push" uten anførselstegn i dette feltet. ESA genererer et push-varsel og venter på godkjenning.
  • Bruker uten 2FA / hvitelistet bruker: Brukerne lar det andre passordfeltet stå tomt, eller skriver inn "none" eller "push" uten anførselstegn i feltet.

Bruk Access-Challenge-funksjonen i RADIUS

Bruk dette alternativet hvis VPN-serveren din kun kontakter ESA RADIUS for å verifisere begge faktorene (brukernavn og passord som den første faktoren og OTP som den andre faktoren), men autentiseringen består av to trinn.

Følgende RADIUS-klienter støtter RADIUS Access-Challenge-funksjonen:

  • Junos Pulse (VPN)
  • Linux PAM-modul

Følgende RADIUS-klienter bør ikke brukes med Access-Challenge-funksjonen:

  • Microsoft RRAS
Krav

Konfigurer autentiseringen av VPN-tilkoblingen din til å bruke RADIUS-autentisering som peker til en RADIUS-server du har konfigurert i ESA Web Console.

Hvordan fungerer det?
Innloggingen består av to faser: generisk innlogging og inntasting av OTP eller godkjenning av push-varsling. VPN viser en popup-dialogboks eller en annen side for å angi OTP eller venter på godkjenning av push-varsling.
  • SMS-autentisering: Brukerne logger på med innloggingsinformasjonen sin, og i neste skjermbilde eller popup-dialogboks angir de OTP-en de har mottatt via SMS.
  • Mobil OTP / Hard Token: Brukerne logger på ved hjelp av påloggingsinformasjonen sin, og i neste skjermbilde eller popup-dialogboks skriver de inn den genererte OTP-en.
  • Push-autentisering: Brukerne logger på med påloggingsinformasjonen sin og godkjenner det genererte push-varselet.
Push-autentisering

Hvis brukeren kun har aktivert push-autentisering, vises ingen påfølgende side for å be om OTP eller informere om ventende godkjenning av push-varsling, men brukeren må godkjenne push-varslingen. Hvis ikke, vil påloggingsforsøket mislykkes.

  • Bruker uten 2FA / hvitelistet bruker: Brukere bruker bare påloggingsinformasjon.

Klienten validerer ikke brukernavn og passord - unngå sammensatt

Bruk dette alternativet bare hvis VPN-serveren bruker MS-CHAPv2 (der et sammensatt passord ikke støttes), og den kontakter ESA RADIUS for å verifisere begge faktorene (brukernavn og passord som den første faktoren og OTP som den andre faktoren).
Krav

Konfigurer autentiseringen av VPN-tilkoblingen din til å bruke RADIUS-autentisering som peker til en RADIUS-server du har konfigurert i ESA Web Console.

Hvordan fungerer det?
  • SMS-baserte OTP-er, Push av mobilapplikasjon- Ved første påloggingsforsøk blir brukeren bedt om å oppgi passord. Innloggingsforsøket mislykkes, men brukeren mottar en OTP via SMS. Ved det andre påloggingsforsøket skriver brukeren inn OTP-en han/hun har mottatt i passordfeltet.
  • OTP-erfor mobilapplikasjoner / Hard Token OTP-er- Brukerne trenger ikke å skrive inn passordet sitt, bare OTP-en. For å redusere sikkerhetsrisikoen kan du tvinge frem en PIN-kode for mobilapplikasjonen:
    1. Gå til Innstillinger > Mobilapplikasjon i ESAs nettkonsoll.
    2. Slå på Brukere må bruke en PIN-kode.
    3. Klikk på Lagre.
  • Bruker uten 2FA / hvitelistet bruker: Brukere logger på med innloggingsinformasjonen sin. ESA validerer passordet.

<foreldet> <deprecated>

I ESA versjon 2.8 og tidligere kunne administratoren ende opp med inkonsekvente innstillinger for klienttypene Klient validerer ikke brukernavn og passord og Klient validerer brukernavn og passord. I ESA 3.0 er slike konfigurerte klienttyper merket som <deprecated>. Vi anbefaler at du bruker den tilsvarende ikke-foreldede versjonen av slike klienttyper.

Eksempler på integrasjonsveiledninger

Klikk på den aktuelle lenken nedenfor for å vise integrasjonsveiledningen for ESET Secure Authentication for din konfigurasjon. Integrasjonsveiledningene er utformet for å brukes i kombinasjon med dokumentet ESET Secure Authentication Verifying ESA RADIUS functionality. Merk at noen av veiledningene kan være utdaterte og fungerer som eksempler. For en oppdatert integrasjonsveiledning, ta kontakt med leverandøren av VPN-apparatet ditt med hensyn til de støttede klienttypene som er beskrevet ovenfor.

VPN-, brannmur- og UTM-endepunkter:

Sky- og VDI-endepunkter

I tillegg til de applikasjonsspesifikke integrasjonsveiledningene anbefaler vi at du også leser den elektroniske hjelpen for ESET Secure Authentication når du implementerer ESET Secure Authentication. Hvis du planlegger å legge til ESET Secure Authentication i en eksisterende applikasjon ved hjelp av ESET Secure Authentication API, er også dokumentene ESET Secure Authentication API User Guide og ESET Secure Authentication SSL Certificate Replacement tilgjengelige.

Sist oppdatert: 21. nov. 2025

Tilleggsressurser

Brukerveiledninger

ESET Forum

YouTube-videoer
ESET Status Portal ESET Technical Support

Eksisterende kunde?