ESET Secure Authentication On-Prem – Tabla de contenido

Otras configuraciones de RADIUS

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

En los ejemplos de abajo, utilizamos un entorno de dominio de Active Directory.

Tipo de cliente: el cliente no valida el nombre de usuario ni la contraseña

Si establece el Client Type como Client does not validate username and password cuando configura un cliente RADIUS en ESA Management Tool, ambos factores (nombre de usuario y contraseña como primer factor, y OTP como segundo factor) los verifica ESA:

Vista general de los detalles del tipo de cliente de autenticación

Posteriormente, en /etc/pam.d/sshd (u otra integración), agregue la siguiente línea:

auth required /usr/lib/pam/pam_radius_auth.so

y comente (coloque una etiqueta # al principio) todas las demás líneas auth.

Verificación necesaria

El administrador de dominio debe comprobar si esta situación (deshabilitar específicamente el resto de módulos) es adecuada para su implementación.

En este caso, un proceso de inicio de sesión de SSH sería así:

•Entrega de OTP por SMS: en el primer intento de contraseña, se solicita al usuario una contraseña AD. En el segundo intento de contraseña, ingresan su OTP.

Vista general del proceso de inicio de sesión de SSH

•Otro tipo de OTP (autenticación compuesta): ingrese tanto la contraseña AD como la OTP al mismo tiempo como ADpasswordOTP. Por ejemplo, si su contraseña AD es Test y la OTP recibida es 123456, usted ingresará Test123456.
pam-bothfactors-mobilecompound-ssh

Tipo de cliente: el cliente valida el nombre de usuario y contraseña

Si establece el Clien Type como Client validates username and password cuando configura un cliente RADIUS en ESA Management Tool, entonces el primer factor (nombre de usuario y contraseña) lo verifica el otro módulo de PAM:

Cuando se configure RADIUS de esta forma, agregue la siguiente línea /etc/pam.d/sshd (o la integración adecuada):

auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS

En este caso, un proceso de inicio de sesión de SSH sería así:

•Las indicaciones que comienzan con la cadena Password: son gestionadas por otros módulos PAM. Las indicaciones que comienzan con la cadena RADIUS: son gestionadas por nuestro módulo PAM. Consulte el argumento 'prompt=RADIUS' en el código de ejemplo anterior

•SMS: en la primera indicación, el usuario debe ingresar su contraseña AD. En la segunda indicación, debe ingresar el texto 'sms' (sin apóstrofes). En la tercera indicación, debe ingresar su contraseña AD. En la cuarta indicación, debe ingresar la OTP recibida

Vista general del proceso de inicio de sesión de SSH

•Otro tipo de OTP (OTP recibida a través de una aplicación móvil o hard token): ingrese la contraseña AD al primer intento. En el segundo intento, ingrese la OTP.

Vista general del proceso de inicio de sesión de SSH

˄˅