[KB3403] Skonfiguruj mój punkt końcowy uwierzytelniania do użytku z ESET Secure Authentication

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Problem

Rozwiązanie

ESA rozróżnia trzy typy klientów (na przykład VPN) w oparciu o sposób, w jaki obsługują uwierzytelnianie w środowisku Active Directory (AD).

Klient nie weryfikuje nazwy użytkownika i hasła

Wszystkie sieci VPN powinny obsługiwać ten scenariusz. Jeśli ustawisz Typ klienta na Klient nie weryfikuje nazwy użytkownika i hasła podczas konfigurowania klienta RADIUS w ESA Web Console, oba czynniki (nazwa użytkownika i hasło jako pierwszy czynnik oraz OTP jako drugi czynnik) są weryfikowane przez ESA.

Wymagania

Skonfiguruj uwierzytelnianie połączenia VPN, aby korzystało z uwierzytelniania RADIUS wskazującego na serwer RADIUS skonfigurowany w ESA Web Console.

Jak to działa?

  • OTP oparte na wiadomościach SMS- przy pierwszej próbie logowania użytkownik jest proszony o podanie hasła. Próba logowania nie powiedzie się, ale użytkownik otrzyma OTP za pośrednictwem wiadomości SMS. Przy drugiej próbie logowania użytkownik wprowadza otrzymany OTP w polu hasła.
  • Aplikacja mobilna OTP / Hard Token OTP - użytkownicy logują się przy użyciu hasła i OTP w tym samym czasie co passwordOTP.
  • Aplikacja mobilna Push-użytkownicy próbują zalogować się przy użyciu swoich danych logowania. Na urządzeniu mobilnym użytkownika generowane jest powiadomienie push. Zatwierdzenie powiadomienia skutkuje pomyślnym zalogowaniem.
Uwierzytelnianie SMS i Push

Jeśli użytkownik ma włączone uwierzytelnianie SMS i Push, zadziała tylko SMS.

  • Użytkownik bez 2FA / użytkownik na białej liście: Użytkownicy logują się przy użyciu swoich danych logowania. ESA weryfikuje hasło.

Klient weryfikuje nazwę użytkownika i hasło

Upewnij się, że sieć VPN obsługuje tę funkcję i jest poprawnie skonfigurowana. Nieprawidłowa konfiguracja może prowadzić do pominięcia weryfikacji hasła. Jeśli podczas konfigurowania klienta RADIUS w konsoli internetowej ESA ustawisz Typ klienta na Klient w eryfikuje nazwę użytkownika i hasło, pierwszy czynnik (nazwa użytkownika i hasło) zostanie zweryfikowany przez usługę AD.

Wymagania

Skonfiguruj jedno uwierzytelnienie wskazujące na twój serwer i jedno uwierzytelnienie RADIUS wskazujące na serwer ESA RADIUS.

Jak to działa?
VPN zapewnia dwa pola hasła, pierwsze dla hasła użytkownika i drugie dla OTP.
  • OTP oparte na SMS-ach - wymagane są dwie próby logowania. Najpierw użytkownicy wprowadzają swoje hasło do pierwszego pola hasła, a następnie wpisują sms, bez cudzysłowów. Jeśli podano poprawną nazwę użytkownika i hasło, ekran logowania pojawi się ponownie bez żadnego komunikatu o błędzie, a użytkownik otrzyma OTP za pośrednictwem wiadomości SMS. Przy drugiej próbie logowania użytkownik wprowadza otrzymany OTP w polu drugiego hasła.
  • OTPaplikacji mobilnej / Hard Token OTP-użytkownik wprowadza wygenerowany OTP w polu drugiego hasła.
  • Aplikacja mobilna Push-użytkownicy wprowadzają "puste", "brak" nazwy użytkownika lub "push" bez cudzysłowów w tym polu. ESA generuje powiadomienie push i czeka na jego zatwierdzenie.
  • Użytkownik bez 2FA / użytkownik na białej liście: Użytkownicy pozostawiają drugie pole hasła puste lub wpisują w to pole "brak" lub "push" bez cudzysłowów.

Użyj funkcji Access-Challenge usługi RADIUS

Użyj tej opcji, jeśli serwer VPN kontaktuje się tylko z ESA RADIUS w celu weryfikacji obu czynników (nazwa użytkownika i hasło jako pierwszy czynnik oraz OTP jako drugi czynnik), ale uwierzytelnianie składa się z dwóch kroków.

Następujące klienty RADIUS obsługują funkcję Wyzwanie dostępu RADIUS:

  • Junos Pulse (VPN)
  • Moduł Linux PAM

Następujące klienty RADIUS nie powinny być używane z funkcją Access-Challenge:

  • Microsoft RRAS
Wymagania

Skonfiguruj uwierzytelnianie połączenia VPN tak, aby korzystało z uwierzytelniania RADIUS wskazującego na serwer RADIUS skonfigurowany w ESA Web Console.

Jak to działa?
Logowanie składa się z 2 etapów, logowania ogólnego i wprowadzania OTP lub zatwierdzania powiadomień push. VPN wyświetla wyskakujące okno dialogowe lub inną stronę, aby wprowadzić OTP lub czeka na zatwierdzenie powiadomienia push.
  • Uwierzytelnianie SMS: Użytkownicy logują się przy użyciu swoich danych logowania, a na następnym ekranie lub w wyskakującym oknie dialogowym wprowadzają OTP otrzymany za pośrednictwem wiadomości SMS.
  • Mobilny OTP / twardy token: Użytkownicy logują się przy użyciu swoich danych logowania, na następnym ekranie lub w wyskakującym oknie dialogowym wprowadzają wygenerowany OTP.
  • Uwierzytelnianie push: Użytkownicy logują się przy użyciu swoich danych logowania i zatwierdzają wygenerowane powiadomienie push.
Uwierzytelnianie push

Jeśli użytkownik ma włączone tylko uwierzytelnianie Push, nie zostanie wyświetlona kolejna strona z żądaniem OTP lub informacją o oczekującym zatwierdzeniu powiadomienia push, ale użytkownik musi zatwierdzić powiadomienie push. Jeśli tego nie zrobi, próba logowania zakończy się niepowodzeniem.

  • Użytkownik bez 2FA / użytkownik na białej liście: Użytkownicy używają tylko danych logowania.

Klient nie weryfikuje nazwy użytkownika i hasła - unikaj związku

Użyj tej opcji tylko wtedy, gdy serwer VPN używa MS-CHAPv2 (gdzie hasło złożone nie jest obsługiwane) i kontaktuje się z ESA RADIUS w celu weryfikacji obu czynników (nazwy użytkownika i hasła jako pierwszego czynnika oraz OTP jako drugiego czynnika).
Wymagania

Skonfiguruj uwierzytelnianie połączenia VPN, aby korzystało z uwierzytelniania RADIUS wskazującego na serwer RADIUS skonfigurowany w ESA Web Console.

Jak to działa?
  • OTP oparte na SMS, Push aplikacji mobilnej - Przy pierwszej próbie logowania użytkownik jest proszony o podanie hasła. Próba logowania kończy się niepowodzeniem, ale użytkownik otrzymuje OTP za pośrednictwem wiadomości SMS. Przy drugiej próbie logowania użytkownik wprowadza otrzymany OTP w polu hasła.
  • OTP aplikacji mobilnej / Hard Token OTP - użytkownicy nie muszą wprowadzać hasła, a jedynie OTP. Aby zmniejszyć ryzyko związane z bezpieczeństwem, należy wymusić kod PIN aplikacji mobilnej:
    1. W ESA Web Console przejdź do Ustawienia > Aplikacja mobilna.
    2. Włącz opcję Użytkownicy muszą używać kodu PIN.
    3. Kliknij Zapisz.
  • Użytkownik bez 2FA / użytkownik na białej liście: Użytkownicy logują się przy użyciu swoich danych logowania. ESA weryfikuje hasło.

<nieaktualne>

W ESA w wersji 2.8 i wcześniejszych, administrator mógł skończyć z niespójnymi ustawieniami typu klienta Client does not validate username and password i Client validates username and password. W ESA 3.0 takie skonfigurowane typy klientów są oznaczone jako <deprecated>. Zalecamy korzystanie z odpowiedniej, nie przestarzałej wersji takich typów klienta.

Przykładowe przewodniki integracji

Kliknij odpowiednie łącze poniżej, aby wyświetlić przewodnik integracji ESET Secure Authentication dla swojej konfiguracji. Przewodniki integracji są przeznaczone do użytku w połączeniu z dokumentem ESET Secure Authentication Verifying ESA RADIUS functionality. Należy pamiętać, że niektóre przewodniki mogą być nieaktualne i służą jako przykład. Aby uzyskać aktualny przewodnik integracji, należy skonsultować się z dostawcą urządzenia VPN w odniesieniu do obsługiwanych typów klientów opisanych powyżej.

Punkty końcowe VPN, Firewall i UTM:

Punkty końcowe w chmurze i VDI

Oprócz przewodników integracji specyficznych dla aplikacji zalecamy również zapoznanie się z pomocą online ESET Sec ure Authentication podczas wdrażania ESET Secure Authentication. Jeśli planujesz dodać ESET Secure Authentication do istniejącej aplikacji za pomocą interfejsu API ESET Secure Authentication, dostępne są również dokumenty ESET Secure Authentication API User Guide i ESET Secure Authentication SSL Certificate Replacement.

Ostatnio zaktualizowany: 18 gru 2025

Dodatkowe materiały:

Dokumentacja

Forum ESET

Poradniki w formie filmów
ESET Status Portal ESET Technical Support

Obecny klient?