ESET Online pomocník

Vyhľadať Slovenčina
Vyberte kapitolu

Konfigurácia klienta RADIUS

Ak chcete pre VPN nastaviť 2FA, pridajte zariadenie VPN ako klienta RADIUS:

1.V nástroji ESA Web Console prejdite do sekcie Components > RADIUS, vyberte server RADIUS a kliknite na Create new RADIUS client.

2.V sekcii Basic Settings:

a.Pomenujte klienta RADIUS názvom, ktorý si ľahko zapamätáte.

b.Nastavte IP Address a Shared Secret pre Client tak, aby zodpovedali konfigurácii vášho zariadenia VPN. IP Address je interná IP adresa vášho zariadenia. Ak vaše zariadenie komunikuje prostredníctvom protokolu IPv6, použite túto IP adresu spolu s príslušným ID rozsahu (ID rozhrania).

c.Shared Secret je zdieľaná tajná informácia medzi serverom RADIUS a externým autentifikátorom, ktorý nakonfigurujete vo svojom zariadení.

3.V sekcii Authentication:

a.Vyberte typ klienta v sekcii Client Type.

b.Vyberte preferovaný spôsob overenia. Optimálny spôsob overenia závisí od značky a modelu vášho zariadenia VPN. Podrobnosti nájdete v pokynoch na integráciu VPN v Databáze znalostí ESET.

c.Voliteľne môžete VPN povoliť aj pre non-2FA používateľov.


note

Používatelia bez 2FA

Ak non-2FA používateľom povolíte prihlásiť sa do siete VPN, no neobmedzíte prístup skupine zabezpečenia, všetci používatelia v doméne sa budú môcť prihlásiť pomocou VPN. Použitie tejto konfigurácie sa neodporúča.

V prípade, že je klient ESA RADIUS nakonfigurovaný tak, aby umožňoval Non-2FA používateľom prihlásiť sa pomocou svojich všeobecných prihlasovacích údajov, a ak je povolená individuálna registrácia s akýmkoľvek predvoleným typom overenia, všetci používatelia budú požiadaní o overenie pomocou 2FA alebo MRK.

RADIUSclient_authentication

4.Ak chcete, aby sa doména používateľa automaticky zaregistrovala pri prvom overení používateľa pomocou VPN a 2FA, z ponuky Realm v sekcii Users vyberte Current AD domain alebo Current AD domain and domains in trust. Prípadne môžete vybrať konkrétnu doménu a všetkých používateľov zaregistrovať do rovnakej domény.

5.Ak váš klient RADIUS podporuje atribút Message-Authenticator, vyberte možnosť Require Message-Authenticator attribute, čím sa zmiernia potenciálne bezpečnostné riziká a zraniteľnosti (CVE-2024-3596).

6.Ak váš klient VPN vyžaduje, aby server ESA RADIUS odoslal dodatočné atribúty RADIUS, v sekcii Attributes kliknite na Add a nastavte ich. Nezabudnite pre atribút vybrať správny typ hodnoty Value type, aby ho komponent RADIUS mohol analyzovať.

7.Po vykonaní zmien kliknite na Save.

8.Reštartujte server RADIUS.

a.V službách systému Windows (Control Panel > Administrative Tools > View Local Services) vyhľadajte ESA RADIUS Service.

b.Pravým tlačidlom myši kliknite na ESA Radius Service a z kontextovej ponuky vyberte Restart.


note

Push autentifikácia

Ak je povolená metóda overenia Mobile Application Push, nastavte čas vypršania autentifikácie servera VPN na viac ako 2,5 minúty.

Možnosti v menu Client Type

Client does not validate user name and password

Client validates user name and password

Use Access-Challenge feature of RADIUS

Client does not validate user name and password - avoid compound

Viac informácií o možnostiach Client Type

 

Funkciu RADIUS Access-Challenge podporujú nasledujúce klienty RADIUS:

Pulse Connect Secure (predtým Junos Pulse (VPN))

modul Linux PAM

S funkciou Access-Challenge by sa nemal používať klient RADIUS Microsoft RRAS.