[KB3403] Ako nakonfigurujem moje autentifikačné prostredie pre použitie s ESET Secure Authentication

Problém

  • Konfigurácia ESET Secure Authentication pre použitie s mojim autentifikačným prostredím

Riešenie

Typy klientov (Client Types)

ESA rozlišuje tri typy klientov (napríklad VPN-ky) na základe ich spôsobu overenia používateľa v rámci prostredia Active Directory (AD).

1. Klient neoveruje meno používateľa a heslo (Client does not validate user name and password)

Všetky VPN-ky by mali podporovať tento scenár. Ak počas nastavenia RADIUS klienta vo webovom rozhraní ESA (ESA Web Console) zvolíte pre Typ Klienta (Client Type ) možnosť Client does not validate username and password, oba prihlasovacie faktory (prvý faktor - meno používateľa a heslo, druhý faktor - OTP (jednorázové heslo)) overuje ESA.

Požiadavky

Pre vaše VPN pripojenie nastavte spôsob overenia na RADIUS overenie a zadajte údaje RADIUS servera, ktorý ste nastavili v ESA Web Console. 

Ako to funguje?

  • OTP doručené cez SMS—Pri prvom pokuse o pirhlásenie, používateľ je vyzvaný zadať heslo. Pokus o prihlásenie zlyhá, ale používateľ obdrží OTP cez SMS správu. Pri druhom pokuse o prihlásenie používateľ zadá OTP, ktoré obdržal v SMS správe, do poľa pre heslo.
  • OTP generované cez Mobilnú Aplikáciu / Hard Token OTP—Používateľ zadá svoje heslo aj OTP naraz, t.j. vo formáte hesloOTP.
  • Push notifkácia—Používateľ sa pokúsi prihlásiť svojimi bežnými prihlasovacími údajmi. Na jeho telefóne sa objaví push notifikácia. Keď potvrdí push notifikáciu, bude úspešne prihlásený.

SMS a Push autentifikácia

Ak používateľ má zapnuté oboje, SMS aj Push autentifikáciu, tak jedine SMS bude fungovať.

  • Používateľ bez zapnutého 2FA / používateľ s výnimkou: Používateľ sa prihlási so svojími prihlasovacími údajmi. ESA potvrdí platnosť hesla.

2. Klient potvrdí platnosť používateľského mena a hesla (Client validates user name and password)

Uistite sa, že VPN-ka podporuje tento scenár a je správne nastavená. Nesprávne nastavenie môže viesť k tomu, že sa heslo vôbec nebude overovať. Ak počas nastavenia RADIUS klienta vo webovom rozhraní ESA (ESA Web Console) zvolíte pre Typ Klienta (Client Type ) možnosť Client validates username and password, prvý faktor (meno používateľa a heslo) je potvrdený iným PAM modulom.

Požiadavky

Nastavte jednen spôsob autentifikácie, ktoré smeruje na na váš server a nastavte jeden spôsob RADIUS autentifikácie, ktoré smeruje na ESA RADIUS server.

Ako to funguje?

VPN poskytne dve polia pre heslo, prvé pre heslo používateľa, druhé pre OTP.
  • OTP doručené cez SMS—Sú potrebné dva pokusy o prihlásenie. Pri prvom, používateľ zadá svoje heslo do prvého poľa pre heslo a do druhého poľa pre heslo napíše "sms" bez úvodzoviek. Ak meno používateľa a heslo bolo správne, tak sa opäť objaví prihlasovacie okno bez akejkoľvek chybovej hlášky a používateľ obdrží OTP cez SMS správu. Pri druhom pokuse o prihlásenie, použivateľ zadá OTP do druhého poľa pre heslo.
  • OTP generované cez Mobilnú Aplikáciu / Hard Token OTP—Používateľ zadá vygenerované OTP do druhého poľa pre heslo.
  • Push notifkácia—Používateľ nechá druhé pole pre heslo prázdne, alebo tam napíše "none" alebo "push" bez úvodzoviek. ESA vygeneruje push notifikáciu na telefóne používateľa a čaká na potvrdenie.
  • Používateľ bez zapnutého 2FA / používateľ s výnimkou: Používateľ nechá druhé pole pre heslo prázdne, alebo tam napíše "none" alebo "push" bez úvodzoviek.

3. Použiť RADIUS – žiadosť o dodatočné informácie na prístup – funkciu (Use Access-Challenge feature of RADIUS)

Nasledovní RADIUS klienti podporujú funkciu RADIUS Access-Challenge:

  • Junos Pulse (VPN)
  • Linux PAM module

Nasledovní RADIUS klient by nemal byť použitý s funkciou RADIUS Access-Challenge:

  • Microsoft RRAS

Požiadavky

Nastavte VPN autentifikáciu tak, aby používalo RADIUS overenie a nasmerujte ho na RADIUS server nastavený v ESA Web Console. 

Ako to funguje?

Prihlasovanie prebieha v dvoch fázach: bežné prihlásenie a potom zadanie OTP alebo potvrdenie push notifikácie. VPN zobrazí vyskakovacie okno alebo ďalšiu stránku pre zadanie OTP alebo čaká na potvrdenie push notifikácie. 
  • OTP doručené cez SMS: Používateľ zadá svoje prihlasovacie údaje, na ďalšej obrazovke alebo vo vyskakovacom okne zadá OTP, ktoré obdržal v SMS správe.
  • OTP generované cez Mobilnú Aplikáciu / Hard Token OTP: Používateľ zadá svoje prihlasovacie údaje, na ďalšej obrazovke alebo vo vyskakovacom okne zadá vygenerované OTP.
  • Push notifkácia: Používateľ zadá svoje prihlasovacie údaje a potvrdí push notifikáciu.

Push autentifikácia

Ak používateľ má zapnutú iba push autnetifikáciu, tak po zadaní prihlasovacích údajov sa nezobrazí ďalšia stránka alebo vyskakovacie okno, ale musí potvrdiť push notifikáciu. Ak ju nepotvrdí, prihlasovanie zlyhá.

  • Používateľ bez zapnutého 2FA / používateľ s výnimkou: Používateľ zadá iba svoje prihlasovacie údaje. 

Vzorové integračné manuály

Kliknite na príslušný odkaz, aby ste videli ESA integračný manuál pre vaše nastavenie. Integračné manuály sú napísané tak, aby sa použili v kombinácii s dokumentom Overenie funkčnosti ESA RADIUS. Prosím, majte na vedomí, že niektoré manuály sú už dlhšiu dobu neaktualizované a slúžia iba ako príklad. Pre aktualizovaný integračný manuál kontaktujte poskytovatľa vášho VPN zariadenia vzhľadom na vyššie spomínané Typy klientov (Client types).

VPN, Firewall a UTM zariadenia:

Cloudové a VDI zariadenie:

Popri jednotlivých integračných manuáloch odporúčame si prečítať aj online dokumentáciu ESET Secure Authentication keď budete nasadzovať ESET Secure Authentication. Ak plánujete začleniť ESET Secure Authentication do existujúcej aplikáciu pomocou ESET Secure Authentication API, sú pre vás dostupné dokumenty ESET Secure Authentication API príručka a ESET Secure Authentication - výmena SSL Certifikátu.

Kontaktujte nás

02/322 44 444 (pracovné dni 8:00-18:30)

Viac informácií