[KB3403] Настройка конечной точки аутентификации для использования с ESET Secure Authentication

• Настройка ESET Secure Authentication (ESA) для использования с конечной точкой аутентификации
• Клиент не проверяет имя пользователя и пароль
• Клиент проверяет имя пользователя и пароль
• Используйте функцию Access-Challenge в RADIUS
• Клиент не проверяет имя пользователя и пароль - избегайте соединений
• <исправленный
• Примеры руководств по интеграции

ESA различает три типа клиентов (например, VPN) в зависимости от того, как они обрабатывают проверку подлинности в среде Active Directory (AD).

Клиент не проверяет имя пользователя и пароль

Все VPN должны поддерживать этот сценарий. Если при настройке клиента RADIUS в веб-консоли ESA установить для типа клиента значение Client does not validate username and password, то оба фактора (имя пользователя и пароль в качестве первого фактора и OTP в качестве второго фактора) будут проверяться ESA.

Требования

Настройте аутентификацию VPN-соединения на использование аутентификации RADIUS, указывающей на сервер RADIUS, который вы настроили в веб-консоли ESA.

Как это работает?

• OTP на основе SMS - при первой попытке входа в систему пользователю предлагается ввести пароль. Попытка входа не удается, но пользователь получает OTP по SMS. При второй попытке входа в систему пользователь вводит полученный OTP в поле для ввода пароля.

• Мобильное приложение OTPs / Hard Token OTPs - пользователь входит в систему, используя одновременно пароль и OTP в качестве passwordOTP.

• Мобильное приложение Push - пользователи пытаются войти в систему, используя свои учетные данные. На мобильном устройстве пользователя генерируется push-уведомление. Одобрение уведомления приводит к успешному входу в систему.

• Пользователь без 2FA / пользователь из белого списка: Пользователи входят в систему, используя свои учетные данные. ESA проверяет пароль.

Клиент проверяет имя пользователя и пароль

Убедитесь, что VPN поддерживает эту функцию и настроена правильно. Неправильная конфигурация может привести к пропуску проверки пароля. Если при настройке клиента RADIUS в веб-консоли ESA установить для параметра Тип клиента значение Клиент проверяет имя пользователя и пароль, то первый фактор (имя пользователя и пароль) будет проверяться AD.

Требования

Установите одну аутентификацию, указывающую на ваш сервер, и одну аутентификацию RADIUS, указывающую на сервер ESA RADIUS.

Как это работает?

• OTP на основе SMS - требуется две попытки входа в систему. Сначала пользователь вводит свой пароль в первое поле пароля, затем набирает sms без кавычек. Если имя пользователя и пароль введены правильно, экран входа в систему появится снова без сообщения об ошибке, и пользователь получит OTP по SMS. При второй попытке входа в систему пользователь вводит полученный OTP во второе поле пароля.

• Мобильное приложение OTPs / Hard Token OTPs - пользователь вводит сгенерированный OTP в поле второго пароля.

• Мобильное приложение Push - пользователь вводит в это поле "пусто", "нет" или "push" без кавычек. ESA генерирует push-уведомление и ожидает его одобрения.

• Пользователь без 2FA / пользователь из белого списка: Пользователи оставляют поле второго пароля пустым, либо вводят в это поле "none" или "push" без кавычек.

Использовать функцию Access-Challenge в RADIUS

Используйте эту опцию, если ваш VPN-сервер обращается только к ESA RADIUS для проверки обоих факторов (имя пользователя и пароль в качестве первого фактора и OTP в качестве второго фактора), но аутентификация состоит из двух шагов.

Следующие клиенты RADIUS поддерживают функцию RADIUS Access-Challenge:

• Junos Pulse (VPN)
• Модуль Linux PAM

Следующие клиенты RADIUS не должны использоваться с функцией Access-Challenge:

• Microsoft RRAS

Требования

Настройте аутентификацию VPN-соединения на использование аутентификации RADIUS, указывающей на сервер RADIUS, настроенный в ESA Web Console.

Как это работает?

• SMS-аутентификация: Пользователи входят в систему, используя свои учетные данные, а в следующем окне или всплывающем диалоге вводят OTP, полученный по SMS.

• Мобильный OTP / Hard Token: Пользователи входят в систему, используя свои учетные данные, на следующем экране или во всплывающем диалоге они вводят сгенерированный OTP.

• Push-аутентификация: Пользователи входят в систему, используя свои учетные данные, и подтверждают сгенерированное push-уведомление.

• Пользователь без 2FA / пользователь из белого списка: Пользователи используют только учетные данные для входа в систему.

Клиент не проверяет имя пользователя и пароль - избегайте соединения

Требования

Примеры руководств по интеграции

Щелкните соответствующую ссылку ниже, чтобы просмотреть руководство по интеграции ESET Secure Authentication для вашей конфигурации. Руководства по интеграции предназначены для использования в сочетании с документом ESET Secure Authentication Verifying ESA RADIUS functionality. Обратите внимание, что некоторые из руководств могут быть устаревшими и служить в качестве образца. Чтобы получить актуальное руководство по интеграции, обратитесь к поставщику вашего VPN-устройства в отношении поддерживаемых типов клиентов, описанных выше.

Конечные точки VPN, брандмауэры и UTM:

• Barracuda
• Check Point Software
• Cisco ASA IPsec
• Cisco ASA SSL
• Citrix Access Gateway
• Citrix Netscaler
• Cyberoam
• Fortinet Fortigate
• Microsoft Forefront Threat Management Gateway
• Netasq

Облако и конечные точки VDI

• Citrix XenApp server

В дополнение к руководствам по интеграции для конкретных приложений мы рекомендуем вам также ознакомиться с интерактивной справкой ESET Secure Authentication при внедрении ESET Secure Authentication. Если вы планируете добавить ESET Secure Authentication в существующее приложение с помощью ESET Secure Authentication API, также доступны руководство пользователя ESET Secure Authentication API и документы ESET Secure Authentication SSL Certificate Replacement.