[KB3403] Configurați punctul meu final de autentificare pentru utilizarea cu ESET Secure Authentication

NOTĂ:

Această pagină a fost tradusă de un computer. Faceți clic pe Română în secțiunea Limbi din această pagină pentru a afișa textul original. Dacă vi se pare că ceva nu este clar, vă rugăm să contactați serviciul de asistență locală.

Problema

Soluție

ESA diferențiază trei tipuri de clienți (de exemplu, VPN-uri) în funcție de modul în care aceștia gestionează autentificarea într-un mediu Active Directory (AD).

Clientul nu validează numele de utilizator și parola

Toate VPN-urile ar trebui să suporte acest scenariu. Dacă setați Client Type la Client does not validate username and password atunci când configurați un client RADIUS în ESA Web Console, ambii factori (numele de utilizator și parola ca prim factor și OTP ca al doilea factor) sunt verificați de ESA.

Cerințe

Configurați autentificarea conexiunii VPN pentru a utiliza autentificarea RADIUS care indică un server RADIUS configurat în Consola Web ESA.

Cum funcționează?

  • OTP-uri bazate pe SMS - La prima încercare de conectare, utilizatorului i se solicită o parolă. Încercarea de conectare eșuează, dar utilizatorul primește un OTP prin SMS. La a doua încercare de conectare, utilizatorul introduce OTP-ul pe care l-a primit în câmpul parolei.
  • Aplicație mobilă OTP / Hard Token OTP - Utilizatorii se conectează folosind atât parola, cât și OTP-ul în același timp, ca și parolaOTP.
  • Aplicație mobilă Push-Utilizatorii încearcă să se conecteze folosind datele lor de autentificare. O notificare push este generată pe dispozitivul mobil al utilizatorului. Aprobarea notificării duce la o autentificare reușită.
Autentificare SMS și Push

Dacă un utilizator are activate atât autentificarea prin SMS, cât și cea prin Push, numai SMS va funcționa.

  • Utilizator fără 2FA / utilizator pe lista albă: Utilizatorii se conectează utilizând datele lor de autentificare. ESA validează parola.

Clientul validează numele de utilizator și parola

Asigurați-vă că VPN-ul acceptă acest lucru și este configurat corect. Configurarea incorectă poate duce la omiterea verificării parolei. Dacă setați Client Type la Client validates username and password atunci când configurați un client RADIUS în consola Web ESA, atunci primul factor (numele de utilizator și parola) este validat de AD.

Cerințe

Configurați o autentificare direcționată către serverul dvs. și o autentificare RADIUS direcționată către serverul RADIUS ESA.

Cum funcționează aceasta?
VPN oferă două câmpuri de parolă, primul pentru parola utilizatorului și un al doilea pentru OTP.
  • OTP pe bază de SMS - Sunt necesare două încercări de autentificare. În primul rând, utilizatorii își introduc parola în primul câmp al parolei, apoi tastează sms, fără ghilimele. Dacă sunt introduse numele de utilizator și parola corecte, ecranul de autentificare va apărea din nou fără niciun mesaj de eroare, iar utilizatorul primește un OTP prin SMS. La a doua încercare de conectare, utilizatorul introduce OTP-ul primit în al doilea câmp al parolei.
  • Aplicația mobilă OTPs / Hard Token OTPs-Utilizatorii introduc OTP-ul generat în câmpul celei de-a doua parole.
  • Aplicație mobilă Push - Utilizatorii introduc "empty", "none" username sau "push" fără ghilimele în câmpul respectiv. ESA generează o notificare push și așteaptă aprobarea acesteia.
  • Utilizator fără 2FA / utilizator pe lista albă: Utilizatorii lasă gol câmpul celei de-a doua parole sau tastează "none" sau "push" fără ghilimele în acel câmp.

Utilizați funcția Access-Challenge a RADIUS

Utilizați această opțiune dacă serverul dvs. VPN contactează numai ESA RADIUS pentru a verifica ambii factori (numele de utilizator și parola ca prim factor și OTP ca al doilea factor), dar autentificarea constă în doi pași.

Următorii clienți RADIUS acceptă funcția RADIUS Access-Challenge:

  • Junos Pulse (VPN)
  • Modulul Linux PAM

Următorii clienți RADIUS nu ar trebui să fie utilizați cu funcția Access-Challenge:

  • Microsoft RRAS
Cerințe

Configurați autentificarea conexiunii VPN pentru a utiliza autentificarea RADIUS care indică un server RADIUS configurat în ESA Web Console.

Cum funcționează?
Conectarea are 2 faze, conectarea generică și introducerea OTP sau aprobarea notificării push. VPN-ul afișează un dialog pop-up sau o altă pagină pentru a introduce OTP-ul sau așteaptă aprobarea notificării push.
  • Autentificare prin SMS: Utilizatorii se conectează folosind datele de autentificare, iar în următorul ecran sau în dialogul pop-up introduc OTP-ul primit prin SMS.
  • Mobile OTP / Hard Token: Utilizatorii se conectează utilizând datele de autentificare, iar în următorul ecran sau dialog pop-up introduc OTP-ul generat.
  • Autentificare push: Utilizatorii se conectează folosind datele de autentificare și aprobă notificarea push generată.
Autentificare push

Dacă utilizatorul are activată doar autentificarea push, nu va fi afișată nicio pagină ulterioară pentru a solicita OTP sau pentru a informa cu privire la aprobarea în așteptare a notificării push, însă utilizatorul trebuie să aprobe notificarea push. Dacă nu o face, încercarea de conectare va eșua.

  • Utilizator fără 2FA / utilizator pe lista albă: Utilizatorii folosesc doar datele de autentificare.

Clientul nu validează numele de utilizator și parola - evitați compusul

Utilizați această opțiune numai dacă serverul dvs. VPN utilizează MS-CHAPv2 (unde nu este acceptată o parolă compusă) și contactează ESA RADIUS pentru a verifica ambii factori (numele de utilizator și parola ca prim factor și OTP ca al doilea factor).
Cerințe

Configurați autentificarea conexiunii VPN pentru a utiliza autentificarea RADIUS care indică un server RADIUS pe care l-ați configurat în ESA Web Console.

Cum funcționează?
  • OTP-uri bazate pe SMS, aplicația mobilă Push - La prima încercare de conectare, utilizatorului i se solicită o parolă. Încercarea de conectare eșuează, dar utilizatorul primește un OTP prin SMS. La a doua încercare de conectare, utilizatorul introduce OTP-ul pe care l-a primit în câmpul parolei.
  • OTP-uri pentru aplicații mobile / OTP-uri hard token - Utilizatorii nu trebuie să introducă parola, ci doar OTP-ul. Pentru a reduce riscul de securitate, forțați PIN-ul aplicației mobile:
    1. În consola web ESA, navigați la Setări > Aplicație mobilă.
    2. Activați Utilizatorii trebuie să utilizeze un cod PIN.
    3. Faceți clic pe Salvare.
  • Utilizator fără 2FA / utilizator pe lista albă: Utilizatorii se conectează folosind credențialele lor de conectare. ESA validează parola.

<deprecated>

În ESA versiunea 2.8 și versiunile anterioare, administratorul putea ajunge la setări inconsecvente ale tipului de client Client does not validate username and password și Client validates username and password. În ESA 3.0, astfel de tipuri de client configurate sunt etichetate ca <deprecated>. Vă recomandăm să utilizați versiunea corespunzătoare non-deprecated a acestor tipuri de client.

Exemple de ghiduri de integrare

Faceți clic pe link-ul corespunzător de mai jos pentru a vizualiza ghidul de integrare ESET Secure Authentication pentru configurația dvs. Ghidurile de integrare sunt concepute pentru a fi utilizate în combinație cu documentul ESET Secure Authentication Verificarea funcționalității ESA RADIUS. Rețineți că unele dintre ghiduri pot fi învechite și servesc drept exemplu. Pentru un ghid de integrare actualizat, consultați furnizorul dispozitivului dvs. VPN cu privire la tipurile de client acceptate descrise mai sus.

Puncte finale VPN, Firewall și UTM:

Puncte finale cloud și VDI

În plus față de ghidurile de integrare specifice aplicațiilor, vă recomandăm să citiți și ajutorul online ESET Secure Authentication atunci când implementați ESET Secure Authentication. Dacă intenționați să adăugați ESET Secure Authentication la o aplicație existentă utilizând ESET Secure Authentication API, sunt disponibile și documentele ESET Secure Authentication API User Guide și ESET Secure Authentication SSL Certificate Replacement.

Ultima actualizare: 19 mar. 2026

Resurse suplimentare

Ghiduri de utilizare

Forum ESET

Videoclipuri YouTube
ESET Status Portal ESET Technical Support

Client existent?