此方案描述如何为所有用户启用两步验证,以及如何从两步验证中排除用户账户。如果您在为其他用户启用两步验证之前没有为您的账户启用两步验证,则应用程序会先打开用于为您的账户启用两步验证的窗口。此方案还描述了如何为您自己的账户启用两步验证。
如果您为账户启用了两步验证,则可以进入为所有用户启用两步验证的阶段。
先决条件
在开始之前:
阶段
为所有用户启用两步验证分阶段进行:
您可以安装任何支持基于时间的一次性密码算法 (TOTP) 的应用程序,例如:
要检查 Kaspersky Security Center Linux 是否支持您要使用的身份验证器应用,请为所有用户或特定用户启用两步验证。
其中一个步骤会建议您指定由身份验证器应用生成的安全代码。如果成功,则 Kaspersky Security Center Linux 支持所选的身份验证器。
我们强烈建议不要在与管理服务器建立连接的同一台设备上安装认证应用。
通过使用外部时间源,确保具有身份验证器应用的设备上的时间和具有管理服务器的设备上的时间与 UTC 同步。否则,两步验证的认证和激活过程中可能会出现失败。
在您为您的账户启用两步验证后,可以为所有用户启用两步验证。
启用了两步验证的用户必须使用它才能登录到管理服务器。
如果您有多个具有相似名称的管理服务器,则可能需要更改安全代码颁发者名称,以便更好地识别不同的管理服务器。
如有需要,将用户账户从两步验证中排除,以便即使他们未配置双重身份验证,也能登录到管理服务器。对于在身份验证期间无法提供安全代码的集成账户,可能有必要从双重身份验证中排除这些账户。集成帐户用于通过OpenAPI运行脚本。
如果要求访问管理服务器的用户未被排除在两步验证之外,并且尚未为其账户配置两步验证,则他们需要在登录 Kaspersky Security Center Web Console 时打开的窗口中进行配置。否则,他们将无法按照其权限访问管理服务器。
为了进一步增强 Kaspersky Security Center Web Console 的访问安全性,在所有需要访问管理服务器的用户完成配置后,您可以禁止新用户为自己设置两步验证。
结果
完成此方案后: