[KB3403] Ako nakonfigurujem svoje autentifikačné prostredie na používanie s riešením ESET Secure Authentication?

• Konfigurácia riešenia ESET Secure Authentication (ESA) na používanie s vaším autentifikačným prostredím
• Klient neoverujúci prihlasovacie meno a heslo
• Klient overujúci prihlasovacie meno a heslo
• Použitie funkcie RADIUS Access-Challenge
• Klient neoverujúci prihlasovacie meno a heslo – zložené heslá nie sú podporované
• Označenie <‎deprecated>
• Vzorové integračné manuály

ESA rozlišuje tri typy klientov (napríklad VPN) na základe spôsobu, akým pristupujú k overeniu používateľa v prostredí Active Directory (AD).

Klient neoverujúci prihlasovacie meno a heslo

Tento scenár by mali podporovať všetky klienty VPN. Ak pri konfigurácii klienta RADIUS v nástroji ESA Web Console nastavíte typ klienta na možnosť Client does not validate username and password (Klient neoveruje prihlasovacie meno a heslo), oba faktory (prihlasovacie meno a heslo ako prvý faktor a jednorazové heslo ako druhý faktor) overuje ESA.

Požiadavky

Nastavte overovanie pripojenia VPN tak, aby sa používalo overovanie cez RADIUS smerujúce na server RADIUS, ktorý ste nakonfigurovali v nástroji ESA Web Console. 

Ako to funguje?

• Jednorazové heslá doručené cez SMS – pri prvom pokuse o prihlásenie je používateľ vyzvaný na zadanie hesla. Pokus o prihlásenie je neúspešný, ale používateľ dostane SMS s jednorazovým heslom (OTP). Pri druhom pokuse o prihlásenie zadá používateľ do poľa pre heslo prijaté OTP.

• OTP vygenerované cez mobilnú aplikáciu/hardvérový token – používatelia sa prihlasujú pomocou svojho hesla aj OTP súčasne (vo formáte hesloOTP).

• Push autentifikácia pomocou mobilnej aplikácie – používateľ sa pokúsi prihlásiť pomocou svojich prihlasovacích údajov. Na mobilnom zariadení používateľa sa zobrazí push notifikácia. Keď ju potvrdí, bude úspešne prihlásený.

• Používateľ bez zapnutého dvojúrovňového overovania/používateľ s výnimkou: títo používatelia sa prihlasujú pomocou svojich prihlasovacích údajov. ESA overí heslo.

Klient overujúci prihlasovacie meno a heslo

Uistite sa, že klient VPN takúto možnosť podporuje a je správne nakonfigurovaný. Nesprávna konfigurácia môže spôsobiť, že sa heslo nebude vôbec overovať. Ak pri konfigurácii klienta RADIUS v nástroji ESA Web Console nastavíte typ klienta na možnosť Client validates username and password (Klient overuje prihlasovacie meno a heslo), prvý faktor (prihlasovacie meno a heslo) overí služba AD.

Požiadavky

Nastavte jedno overenie smerujúce na váš server a jedno overenie cez RADIUS smerujúce na ESA RADIUS server.

Ako to funguje?

• OTP doručené cez SMS – sú potrebné dva pokusy o prihlásenie. Používateľ najprv zadá svoje heslo do prvého poľa pre heslo a do druhého poľa napíše sms bez úvodzoviek. Ak je zadané správne prihlasovacie meno a heslo, znova sa zobrazí prihlasovacia obrazovka (bez chybového hlásenia) a používateľ dostane SMS s OTP. Pri druhom pokuse o prihlásenie zadá používateľ do druhého poľa pre heslo prijaté OTP.

• OTP vygenerované cez mobilnú aplikáciu/hardvérový token – používateľ zadá vygenerované OTP do druhého poľa pre heslo.

• Push autentifikácia pomocou mobilnej aplikácie – používateľ nechá druhé pole pre heslo prázdne, prípadne zadá „none“ alebo „push“ bez úvodzoviek. ESA vygeneruje push notifikáciu a počká na jej potvrdenie.

• Používateľ bez zapnutého dvojúrovňového overovania/používateľ s výnimkou: títo používatelia nechajú druhé pole pre heslo prázdne, prípadne zadajú „none“ alebo „push“ bez úvodzoviek.

Použitie funkcie RADIUS Access-Challenge

Túto možnosť použite, ak váš server VPN kontaktuje na overenie oboch faktorov (prihlasovacie meno a heslo ako prvý faktor a OTP ako druhý faktor) iba ESA RADIUS, ale overenie pozostáva z dvoch krokov.

Funkciu RADIUS Access‑Challenge podporujú nasledujúce klienty RADIUS:

• Junos Pulse (VPN)
• Modul PAM pre Linux

S funkciou Access‑Challenge by sa nemal používať tento klient RADIUS:

• Microsoft RRAS

Požiadavky

Nastavte overovanie pripojenia VPN tak, aby sa používalo overovanie cez RADIUS smerujúce na server RADIUS, ktorý ste nakonfigurovali v nástroji ESA Web Console. 

Ako to funguje?

• Overenie cez SMS: používatelia sa prihlásia pomocou svojich prihlasovacích údajov a na ďalšej obrazovke alebo v dialógovom okne zadajú OTP prijaté cez SMS.

• OTP cez mobilnú aplikáciu/hardvérový token: používatelia sa prihlásia pomocou svojich prihlasovacích údajov a na ďalšej obrazovke alebo v dialógovom okne zadajú vygenerované OTP.

• Push autentifikácia: používatelia sa prihlásia pomocou svojich prihlasovacích údajov a potvrdia vygenerovanú push notifikáciu.

• Používateľ bez zapnutého dvojúrovňového overovania/používateľ s výnimkou: títo používatelia zadávajú iba prihlasovacie údaje. 

Klient neoverujúci prihlasovacie meno a heslo – zložené heslá nie sú podporované

Požiadavky

Vzorové integračné manuály

Kliknutím na príslušný odkaz nižšie zobrazíte pokyny na integráciu riešenia ESET Secure Authentication pre svoje prostredie. Integračné manuály je potrebné používať v kombinácii s pokynmi v kapitole Overenie funkčnosti ESA RADIUS v Online pomocníkovi pre ESET Secure Authentication. Upozorňujeme, že niektoré manuály môžu byť zastarané a slúžia len ako vzor. Aktuálne pokyny na integráciu, pokiaľ ide o podporované typy klientov opísané vyššie, vám poskytne dodávateľ vášho zariadenia VPN.

Koncové body VPN, Firewall a UTM:

• Barracuda
• Check Point Software
• Cisco ASA IPsec
• Cisco ASA SSL
• Citrix Access Gateway
• Citrix Netscaler
• Cyberoam
• Fortinet Fortigate
• Microsoft Forefront Threat Management Gateway
• Netasq

Cloudové koncové body a VDI:

• Citrix XenApp server

Pri nasadzovaní riešenia ESET Secure Authentication odporúčame prečítať si okrem integračných manuálov pre konkrétne aplikácie aj online dokumentáciu pre ESET Secure Authentication. Ak plánujete pridať ESET Secure Authentication do existujúcej aplikácie pomocou ESET Secure Authentication API, k dispozícii sú aj pokyny pre ESET Secure Authentication API a pokyny k nahradeniu certifikátu SSL pre ESET Secure Authentication.