Problém
- Konfigurácia ESET Secure Authentication pre použitie s mojim autentifikačným prostredím
Riešenie
Typy klientov (Client Types)
ESA rozlišuje tri typy klientov (napríklad VPN-ky) na základe ich spôsobu overenia používateľa v rámci prostredia Active Directory (AD).
1. Klient neoveruje meno používateľa a heslo (Client does not validate user name and password)
Všetky VPN-ky by mali podporovať tento scenár. Ak počas nastavenia RADIUS klienta vo webovom rozhraní ESA (ESA Web Console) zvolíte pre Typ Klienta (Client Type ) možnosť Client does not validate username and password, oba prihlasovacie faktory (prvý faktor - meno používateľa a heslo, druhý faktor - OTP (jednorázové heslo)) overuje ESA.
Požiadavky
Pre vaše VPN pripojenie nastavte spôsob overenia na RADIUS overenie a zadajte údaje RADIUS servera, ktorý ste nastavili v ESA Web Console.
Ako to funguje?
- OTP doručené cez SMS—Pri prvom pokuse o pirhlásenie, používateľ je vyzvaný zadať heslo. Pokus o prihlásenie zlyhá, ale používateľ obdrží OTP cez SMS správu. Pri druhom pokuse o prihlásenie používateľ zadá OTP, ktoré obdržal v SMS správe, do poľa pre heslo.
- OTP generované cez Mobilnú Aplikáciu / Hard Token OTP—Používateľ zadá svoje heslo aj OTP naraz, t.j. vo formáte hesloOTP.
- Push notifkácia—Používateľ sa pokúsi prihlásiť svojimi bežnými prihlasovacími údajmi. Na jeho telefóne sa objaví push notifikácia. Keď potvrdí push notifikáciu, bude úspešne prihlásený.
- Používateľ bez zapnutého 2FA / používateľ s výnimkou: Používateľ sa prihlási so svojími prihlasovacími údajmi. ESA potvrdí platnosť hesla.
2. Klient potvrdí platnosť používateľského mena a hesla (Client validates user name and password)
Uistite sa, že VPN-ka podporuje tento scenár a je správne nastavená. Nesprávne nastavenie môže viesť k tomu, že sa heslo vôbec nebude overovať. Ak počas nastavenia RADIUS klienta vo webovom rozhraní ESA (ESA Web Console) zvolíte pre Typ Klienta (Client Type ) možnosť Client validates username and password, prvý faktor (meno používateľa a heslo) je potvrdený iným PAM modulom.
Požiadavky
Nastavte jednen spôsob autentifikácie, ktoré smeruje na na váš server a nastavte jeden spôsob RADIUS autentifikácie, ktoré smeruje na ESA RADIUS server.
Ako to funguje?
- OTP doručené cez SMS—Sú potrebné dva pokusy o prihlásenie. Pri prvom, používateľ zadá svoje heslo do prvého poľa pre heslo a do druhého poľa pre heslo napíše "sms" bez úvodzoviek. Ak meno používateľa a heslo bolo správne, tak sa opäť objaví prihlasovacie okno bez akejkoľvek chybovej hlášky a používateľ obdrží OTP cez SMS správu. Pri druhom pokuse o prihlásenie, použivateľ zadá OTP do druhého poľa pre heslo.
- OTP generované cez Mobilnú Aplikáciu / Hard Token OTP—Používateľ zadá vygenerované OTP do druhého poľa pre heslo.
- Push notifkácia—Používateľ nechá druhé pole pre heslo prázdne, alebo tam napíše "none" alebo "push" bez úvodzoviek. ESA vygeneruje push notifikáciu na telefóne používateľa a čaká na potvrdenie.
- Používateľ bez zapnutého 2FA / používateľ s výnimkou: Používateľ nechá druhé pole pre heslo prázdne, alebo tam napíše "none" alebo "push" bez úvodzoviek.
3. Použiť RADIUS – žiadosť o dodatočné informácie na prístup – funkciu (Use Access-Challenge feature of RADIUS)
Nasledovní RADIUS klienti podporujú funkciu RADIUS Access-Challenge:
- Junos Pulse (VPN)
- Linux PAM module
Nasledovní RADIUS klient by nemal byť použitý s funkciou RADIUS Access-Challenge:
- Microsoft RRAS
Požiadavky
Nastavte VPN autentifikáciu tak, aby používalo RADIUS overenie a nasmerujte ho na RADIUS server nastavený v ESA Web Console.
Ako to funguje?
- OTP doručené cez SMS: Používateľ zadá svoje prihlasovacie údaje, na ďalšej obrazovke alebo vo vyskakovacom okne zadá OTP, ktoré obdržal v SMS správe.
- OTP generované cez Mobilnú Aplikáciu / Hard Token OTP: Používateľ zadá svoje prihlasovacie údaje, na ďalšej obrazovke alebo vo vyskakovacom okne zadá vygenerované OTP.
- Push notifkácia: Používateľ zadá svoje prihlasovacie údaje a potvrdí push notifikáciu.
- Používateľ bez zapnutého 2FA / používateľ s výnimkou: Používateľ zadá iba svoje prihlasovacie údaje.
Vzorové integračné manuály
Kliknite na príslušný odkaz, aby ste videli ESA integračný manuál pre vaše nastavenie. Integračné manuály sú napísané tak, aby sa použili v kombinácii s dokumentom Overenie funkčnosti ESA RADIUS. Prosím, majte na vedomí, že niektoré manuály sú už dlhšiu dobu neaktualizované a slúžia iba ako príklad. Pre aktualizovaný integračný manuál kontaktujte poskytovatľa vášho VPN zariadenia vzhľadom na vyššie spomínané Typy klientov (Client types).
VPN, Firewall a UTM zariadenia:
- Barracuda
- Check Point Software
- Cisco ASA IPsec
- Cisco ASA SSL
- Citrix Access Gateway
- Citrix Netscaler
- Cyberoam
- F5 Firepass
- Fortinet Fortigate
- Microsoft Forefront Threat Management Gateway
- Netasq
Cloudové a VDI zariadenie:
Popri jednotlivých integračných manuáloch odporúčame si prečítať aj online dokumentáciu ESET Secure Authentication keď budete nasadzovať ESET Secure Authentication. Ak plánujete začleniť ESET Secure Authentication do existujúcej aplikáciu pomocou ESET Secure Authentication API, sú pre vás dostupné dokumenty ESET Secure Authentication API príručka a ESET Secure Authentication - výmena SSL Certifikátu.