[KB3403] Configurar meu ponto de extremidade de autenticação para uso com o ESET Secure Authentication

• Configure o ESET Secure Authentication (ESA) para uso com seu ponto de extremidade de autenticação
• O cliente não valida o nome de usuário e a senha
• O cliente valida o nome de usuário e a senha
• Use o recurso Access-Challenge do RADIUS
• O cliente não valida o nome de usuário e a senha - evite o composto
• <depreciado>
• Exemplos de guias de integração

O ESA diferencia três tipos de clientes (por exemplo, VPNs) com base na maneira como eles lidam com a autenticação em um ambiente do Active Directory (AD).

O cliente não valida o nome de usuário e a senha

Todas as VPNs devem suportar esse cenário. Se você definir Client Type (Tipo de cliente) como Client does not validate username and password (Cliente não valida nome de usuário e senha ) ao configurar um cliente RADIUS no Console da Web do ESA, ambos os fatores (nome de usuário e senha como o primeiro fator e OTP como o segundo fator) serão verificados pelo ESA.

Requisitos

Configure a autenticação de sua conexão VPN para usar a autenticação RADIUS apontando para um servidor RADIUS que você configurou no Console da Web do ESA.

Como isso funciona?

• OTPs baseados em SMS - Na primeira tentativa de login, o usuário é solicitado a fornecer uma senha. A tentativa de login falha, mas o usuário recebe um OTP via SMS. Na segunda tentativa de login, o usuário digita a OTP recebida no campo de senha.

• OTPs de aplicativos móveis / OTPs de hard token - Os usuários fazem login usando a senha e a OTP ao mesmo tempo que a senhaOTP.

• Aplicativo móvel Push - Os usuários tentam fazer login usando suas credenciais de login. Uma notificação push é gerada no dispositivo móvel do usuário. A aprovação da notificação resulta em um login bem-sucedido.

• Usuário sem 2FA / usuário na lista de permissões: Os usuários fazem login usando suas credenciais de login. O ESA valida a senha.

O cliente valida o nome de usuário e a senha

Certifique-se de que a VPN seja compatível com isso e esteja configurada corretamente. Uma configuração incorreta pode fazer com que a verificação de senha seja ignorada. Se você definir Client Type (Tipo de cliente) como Client validates username and password (Cliente valida nome de usuário e senha ) ao configurar um cliente RADIUS no console da Web do ESA, o primeiro fator (nome de usuário e senha) será validado pelo AD.

Requisitos

Configure uma autenticação que aponte para o seu servidor e uma autenticação RADIUS que aponte para o servidor RADIUS do ESA.

Como isso funciona?

• OTPs baseadas em SMS - São necessárias duas tentativas de login. Primeiro, os usuários digitam sua senha no primeiro campo de senha e, em seguida, digitam sms, sem aspas. Se o nome de usuário e a senha corretos forem fornecidos, a tela de login será exibida novamente sem nenhuma mensagem de erro, e o usuário receberá uma OTP por SMS. Na segunda tentativa de login, o usuário digita a OTP recebida no segundo campo de senha.

• OTPs de aplicativos móveis / OTPs de hard token - Os usuários inserem a OTP gerada no segundo campo de senha.

• Push de aplicativo móvel - Os usuários inserem "empty" (vazio), "none" (nenhum) nome de usuário ou "push" (empurrar) sem aspas nesse campo. O ESA gera uma notificação push e aguarda sua aprovação.

• Usuário sem 2FA / usuário na lista de permissões: Os usuários deixam o segundo campo de senha vazio ou digitam "none" ou "push" sem aspas nesse campo.

Usar o recurso Access-Challenge do RADIUS

Use essa opção se o seu servidor VPN entrar em contato apenas com o ESA RADIUS para verificar ambos os fatores (nome de usuário e senha como o primeiro fator e OTP como o segundo fator), mas a autenticação consiste em duas etapas.

Os seguintes clientes RADIUS suportam o recurso RADIUS Access-Challenge:

• Junos Pulse (VPN)
• Módulo PAM do Linux

Os seguintes clientes RADIUS não devem ser usados com o recurso Access-Challenge:

• Microsoft RRAS

Requisitos

Configure a autenticação da sua conexão VPN para usar a autenticação RADIUS apontando para um servidor RADIUS que você configurou no ESA Web Console.

Como isso funciona?

• Autenticação por SMS: Os usuários fazem login usando suas credenciais de login e, na próxima tela ou caixa de diálogo pop-up, inserem a OTP recebida por SMS.

• OTP móvel / Hard Token: Os usuários fazem login usando suas credenciais de login e, na tela seguinte ou na caixa de diálogo pop-up, inserem a OTP gerada.

• Autenticação por push: Os usuários fazem login usando suas credenciais de login e aprovam a notificação por push gerada.

• Usuário sem 2FA / usuário na lista de permissões: Os usuários usam apenas as credenciais de login.

O cliente não valida o nome de usuário e a senha - evite o composto

Requisitos

Exemplos de guias de integração

Clique no link apropriado abaixo para visualizar o guia de integração do ESET Secure Authentication para sua configuração. Os guias de integração foram projetados para serem usados em combinação com o documento de funcionalidade ESET Secure Authentication Verifying ESA RADIUS. Observe que alguns dos guias podem estar desatualizados e servem como amostra. Para obter um guia de integração atualizado, consulte o fornecedor de seu dispositivo VPN com relação aos tipos de clientes suportados descritos acima.

Endpoints de VPN, Firewall e UTM:

• Barracuda
• Check Point Software
• Cisco ASA IPsec
• Cisco ASA SSL
• Citrix Access Gateway
• Citrix Netscaler
• Cyberoam
• Fortinet Fortigate
• Microsoft Forefront Threat Management Gateway
• Netasq

Endpoints de nuvem e VDI

• Citrix XenApp server

Além dos guias de integração específicos do aplicativo, recomendamos que você também leia a ajuda on-line do ESET Secure Authentication ao implementar o ESET Secure Authentication. Se você planeja adicionar o ESET Secure Authentication a um aplicativo existente usando a API do ESET Secure Authentication, o Guia do usuário da API do ESET Secure Authentication e os documentos de substituição do certificado SSL do ESET Secure Authentication também estão disponíveis.