Опции доставки
Используемые по умолчанию параметры доставки пароля OTP (SMS, мобильное приложение) превосходно подходят большинству пользователей. При этом в решении ESA можно использовать также пользовательские параметры доставки.
В ESA Web Console (Веб-консоль ESA) щелкните Settings (Параметры) > Delivery Options (Опции доставки).
Выберите параметр Email (Электронная почта) или укажите путь к пользовательскому сценарию, с помощью которого вы хотите выполнить подготовку или доставку одноразового пароля. Щелкните Insert attribute (Вставить атрибут), чтобы открыть список параметров, которые можно передать в пользовательский сценарий. Например, для доставки одноразового пароля нужно использовать параметр Одноразовый пароль[OTP]. Кроме того, можно указать пользовательскую строку для передачи в сценарий (см. параметр 1 на снимке экрана выше).
Авторизация команд
В ESET Secure Authentication On-Prem версии 3.0.21 и более поздних для параметра Use custom application (Использовать пользовательское приложение) требуется выполнить авторизацию команд.
1.Создайте папку authorized_command в папке, отображаемой под полем команд. В нашем примере — C:\Program Files\ESET Secure Authentication On-Prem\.
2.Следуя инструкциям, заданным в поле командной строки, создайте в папке authorized_command файл delivery_provisioning.txt или delivery_opt.txt и сохраните полученный хеш в папке.
3.Нажмите кнопку Сохранить.
Использование электронной почты в качестве опции доставки и подготовки по умолчанию
Для доставки одноразового пароля и (или) данных подготовки с помощью электронной почты сначала укажите сведения о работающем SMTP-сервере:
1.В веб-консоли ESA перейдите в раздел Settings > SMTP Server (Настройки > SMTP-сервер) и введите нужные сведения.
a.Если используется SSL/TLS, сертификат SSL протокола SMTP должен быть доверенным на сервере, на котором размещен сервер аутентификации.
2.Используя команду Send test email (Отправить тестовое сообщение), проверьте конфигурацию. Если электронная почта доставляется по указанному адресу электронной почты, то конфигурация верна.
3.В разделе Settings > Delivery Options (Настройки > Опции доставки) выберите Email (Электронная почта) и щелкните Save (Сохранить).
4.Включите параметр Одноразовые пароли в SMS-сообщении для каждого пользователя:
a.Щелкните Пользователи.
b.Выберите пользователя, включите параметр Одноразовые пароли в SMS-сообщении и нажмите Сохранить.
5.Если включена самостоятельная регистрация, убедитесь, что включен параметр Одноразовые пароли в SMS-сообщении, выбрав Настройки > Регистрация > Типы аутентификации по умолчанию.
Опции безопасности аутентификации В ESA предусмотрен широкий спектр методов двухфакторной аутентификации, которые могут удовлетворить различные предпочтения наших клиентов. приложениеНаиболее безопасным и удобным из них является Push-уведомление в мобильном приложении (Аутентификация с помощью Push-уведомлений). Довольно надежны, но в некоторых случаях менее удобны такие методы, как одноразовый пароль для мобильного приложения, маркер оборудования и FIDO. Хотя отправка одноразового пароля в SMS-сообщении все еще доступна, этот метод не считается наиболее безопасным (преимущественно из-за особенностей принципов обеспечения безопасности, используемых в системах доставки SMS). Однако при выборе доставки одноразового пароля по электронной почте также могут использоваться схемы с более слабой защитой. |
Образец сценария, доступный в типе развертывания Active Directory Integration (Интеграция с Active Directory) — доставка одноразового пароля (OTP) с помощью пользовательского решения электронной почты (приложения)
Обязательные условия
•Нужно знать параметры SMTP шлюза электронной почты, с помощью которого нужно отправить электронное письмо, содержащее одноразовый пароль (OTP);
•Нужен пользовательский сценарий отправки сообщений электронной почты
•Нужен пользовательский сценарий в формате BAT, путь к которому задается в консоли управления ESA веб-консоль (см. снимок экрана выше) и который вызывает ваш пользовательский сценарий, отправляющий электронное письмо;
•Каждый пользователь, использующий 2FA (двухфакторную аутентификацию), который получает OTP passwords (одноразовые пароли) по электронной почте, должен указать свой адрес электронной почты в поле Email (Электронная почта) на вкладке General (Общие) при просмотре сведений на интерфейсе управления Active Directory Users and Computers (Пользователи и компьютеры Active Directory).
Данные SMTP В образце сценария Python выше предполагается, что smtpserver:port username password будут заменены соответствующими данными SMTP. |
Образец. Сценарий в формате BAT для вызова sendmail.py при передаче ему важных параметров, мы назвали этот файл CustomMail.bat
c:\Python\python.EXE c:\work\sendmail.py %1 %2
Обязательные условия В этом образце сценария предполагается, что на главном компьютере, на котором установлен компонент сервера аутентификации ESA, установлена библиотека Python и вы знаете путь к файлу python.exe. |
В поле Sending OTP by (Отправка одноразового пароля) укажите путь к сценарию CustomMail.bat, выберите важные параметры [E-mail-Addresses] (Адреса электронной почты) и [OTP] (Одноразовый пароль), а затем щелкните Save (Сохранить).
Подготовку (доставку мобильного приложения) можно настроить таким же образом с использованием параметров [PHONE] (Номер телефона) и [URL] (URL-адрес).
Доставка по электронной почте или в SMS-сообщении По сравнению с доставкой в SMS-сообщении (или использованием подготовленного мобильного приложения) электронная почта как средство рассылки одноразовых паролей чуть менее безопасна, так как сообщение электронной почты можно прочитать на любом устройстве, владельцем которого является пользователь. Этот метод не предполагает подтверждение того, принадлежит ли получателю зарегистрированный телефон (номер телефона). |