Інтерактивна довідка ESET

Виберіть тему

Варіанти доставки

Варіанти доставки OTP за замовчуванням (у SMS-повідомленнях, у мобільній програмі) відмінно підходять для більшості користувачів. Окрім цих способів, ESA дозволяє налаштувати й інші способи відповідно до ваших потреб.

У ESA Web Console клацніть Settings icon_settings > Delivery Options.

custom_delivery_options2

Виберіть Email або вкажіть шлях до спеціального сценарію, який потрібно застосувати для надання або доставки одноразових паролів. Клацніть Insert attributeInsert attribute, щоб переглянути список доступних параметрів, які можна передати в спеціальний сценарій. Наприклад, для доставки одноразового пароля потрібно використовувати параметр [OTP]. Окрім того, можна вказати спеціальний рядок, який передаватиметься у ваш сценарій (див. parameter1 на знімку вище).

Авторизація команд

У ESET Secure Authentication On-Prem 3.0.21 і новіших версій для параметра Use custom application потрібна авторизація команд.

1.Створіть папку authorized_command у папці, що відображається під полем команди. У нашому прикладі це папкC:\Program Files\ESET Secure Authentication On-Prem\.

2.Згідно з інструкціями під полем командного рядка створіть файл "delivery_provisioning.txt" або "delivery_opt.txt" у папці authorized_command указаний хеш у папці.

3.Натисніть кнопку Зберегти.

Використання електронної пошти як способу доставки (надання) за замовчуванням

Щоб доставляти OTP та (або) інформацію про надання електронною поштою, спершу налаштуйте робочий SMTP-сервер:

1.На ESA Web Console відкрийте Settings > SMTP Server і вкажіть необхідні дані.

a.Якщо використовується SSL/TLS, на сервері, де розміщено Authentication Server, має бути довіреним сертифікат SSL SMTP.

2.Для перевірки конфігурації скористайтесь опцією Send test email. Якщо лист надійде на вказану адресу, конфігурація правильна.

3.У меню Settings icon_settings > Delivery Options виберіть Email і натисніть Save.

4.Увімкніть Паролі OTP у SMS-повідомленнях для користувача:

a.Клацніть Користувачі.

b.Виберіть користувача, увімкніть Паролі OTP у SMS-повідомленнях і клацніть Зберегти.

5.Якщо ввімкнено самореєстрацію, переконайтеся, що параметр Паролі OTP у SMS-повідомленнях увімкнено в розділі Параметри > Реєстрація > Типи автентифікації за замовчуванням.

 

note

Безпека способів автентифікації

ESA пропонує широкий спектр способів 2FA, які задовольнять різні потреби наших клієнтів.

Найбезпечніший і дуже зручний спосіб – push-сповіщення в мобільних програмах (push-автентифікація).

Також дуже надійні, але не завжди зручні способи: одноразові паролі (OTP) у мобільних програмах, апаратні маркери, FIDO.

Також можна використовувати одноразові паролі в SMS-повідомленнях, але вони не дуже безпечні через недоліки захисту систем доставки SMS.

OTP, які надсилаються електронною поштою, також не завжди безпечні, оскільки деякі схеми використання не дуже надійні.

Зразок сценарію, доступний у типі розгортання Active Directory Integration: доставка OTP за допомогою налаштовуваної поштової програми

Попередні вимоги

Знати дані SMTP для шлюзу електронної пошти, який використовуватиметься для надсилання повідомлень із паролями OTP

Створення спеціального сценарію для надсилання електронних листів

Створити спеціальний сценарій .bat (шлях до нього потрібно буде задати на , як показано на знімку екрана вище). Цей сценарій ESA Web Console викликатиме спеціальний сценарій надсилання електронних листів.

Коли ви переглядаєте відомості про користувачів через інтерфейс керування Active Directory Users and Computers, для кожного користувача з 2FA, який отримує OTP passwords електронною поштою, має бути вказана адреса електронної пошти (на вкладці General в полі Email).

note

Дані SMTP

У наведеному вище зразку сценарію python атрибути smtpserver:port, username і password замінюються відповідними даними SMTP.

Простий сценарій .BAT для виклику сценарію sendmail.py під час передавання в нього важливих параметрів. Файлу надано ім’я CustomMail.bat

c:\Python\python.EXE c:\work\sendmail.py %1 %2

note

Попередні вимоги

У цьому зразку передбачається, що бібліотеку python інстальовано на головному комп’ютері з компонентом ESA Authentication Server, і вам відомий шлях до файлу python.exe.

У полі Sending OTP by укажіть шлях до сценарію CustomMail.bat, виберіть важливі параметри (наприклад, [E-mail-Addresses] і [OTP]), а потім клацніть Save

custom_mail_delivery

Надання пароля (доставку в мобільній програмі) можна налаштувати так само, як і параметри [PHONE] і [URL].

note

Порівняння доставки електронною поштою з доставкою у SMS-повідомленнях

Порівняно з доставкою одноразових паролів у SMS-повідомленнях (або використанням виділеної мобільної програми), доставка паролів у електронних листах є менш безпечною, оскільки лист можна прочитати на будь-якому пристрої користувача. Цей метод не гарантує, що той, хто отримає повідомлення, є власником зареєстрованого телефону (телефонного номеру).