Konfigurieren Sie die Zwei-Faktor-Authentifizierung

Beginnend mit der Administrationsserver-Version 16.1, Zwei-Faktor-Authentifizierung wird automatisch aktiviert. Die globale Option zum Deaktivieren der Zwei-Faktor-Authentifizierung wird nicht unterstützt. Dieses Szenario enthält Schritte zum Konfigurieren der zweistufigen Authentifizierung bei der ersten Anmeldung und zum Konfigurieren der Einstellungen für die Zwei-Faktor-Authentifizierung auf dem Administrationsserver.

Schritte

Die Konfiguration der Zwei-Faktor-Authentifizierung erfolgt in mehreren Schritten:

1. Installation einer Authenticator-App auf einem Gerät

   Sie können jede Anwendung installieren, die den Time-based One-time Password-Algorithmus (TOTP) unterstützt, z B:

   • Google Authenticator
   • Microsoft Authenticator
   • Bitrix24 OTP
   • Yandex ID
   • Avanpost Authenticator
   • Aladdin 2FA
   • Rutoken OTP

   Um zu überprüfen, ob Kaspersky Security Center Linux die von Ihnen verwendete Authenticator-App unterstützt, aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Benutzer oder für einen bestimmten Benutzer.

   Einer der Schritte schlägt vor, dass Sie den Sicherheitscode angeben, der von der Authenticator-App generiert wird. Wenn dies erfolgreich ist, unterstützt Kaspersky Security Center Linux den ausgewählten Authenticator.

   Wir raten dringend davon ab, die Authenticator-App auf demselben Gerät zu installieren, von dem aus der Administrationsserver verwaltet wird.

2. Synchronisieren Sie die Uhrzeit auf dem Gerät mit der Authenticator-App mit der Uhrzeit des Geräts, auf dem der Administrationsserver installiert ist

   Stellen Sie sicher, dass die Uhrzeit auf dem Gerät mit der Authenticator-App und die Uhrzeit auf dem Gerät mit dem Administrationsserver mit der UTC-Zeit synchronisiert sind. Für eine höhere Genauigkeit empfehlen wir, in Ihrer gesamten Infrastruktur dieselben NTP-Server zu verwenden. Andernfalls können bei der Konfiguration der Zwei-Faktor-Authentifizierung Fehler auftreten.

3. Konfigurieren Sie die Zwei-Faktor-Authentifizierung für Benutzerkonten bei der Anmeldung an der Web Console

   Melden Sie sich an der Web Console an und konfigurieren Sie die Zwei-Faktor-Authentifizierung.

   Wenn Ihnen die Konfiguration der Zwei-Faktor-Authentifizierung nicht zur Verfügung steht, wenden Sie sich an einen Benutzer, der über die Berechtigung Objekt-ACLs ändern im Funktionsbereich Allgemeine Funktionen: Benutzerberechtigungen verfügt und konfigurierte Zwei-Faktor-Authentifizierung hat, um Ihr Konto zur Zulassungsliste für Zwei-Faktor-Authentifizierung hinzuzufügen.

4. Konfigurieren Sie die Einstellungen für die Zwei-Faktor-Authentifizierung auf dem Administrationsserver

   Wenn Sie die Zwei-Faktor-Authentifizierung konfiguriert haben und die Berechtigung Objekt-ACLs ändern im Funktionsbereich Allgemeine Funktionen: Benutzerberechtigungen konfiguriert haben, können Sie die Einstellungen für die Zwei-Faktor-Authentifizierung auf dem Administrationsserver wie folgt konfigurieren:

   1. Überprüfen Sie die Liste der Benutzer, die die zweistufige Authentifizierung bei der Anmeldung konfigurieren können
      • Zur Installation von Administration Server 16.1 von Grund auf: Fügen Sie die erforderlichen Benutzer zurZulassungsliste für Zwei-Faktor-Authentifizierung damit sie Zwei-Faktor-Authentifizierung konfigurieren bei seinem oder ihrem ersten Anmeldung.
      • Für ein Upgrade oder eine Wiederherstellung auf Administration Server 16.1: Überprüfen Sie die Zulassungsliste für die Zwei-Faktor-Authentifizierung und löschen Sie Konten, die keinen Zugriff auf den Administrationsserver haben dürfen.
   2. Benutzerkonten ausschließen, für die Sie keine Zwei-Faktor-Authentifizierung aktivieren müssen (optional)

      Bei Bedarf können Sie Benutzerkonten von der Zwei-Faktor-Authentifizierung ausschließen damit sie sich auch dann beim Administrationsserver anmelden können, wenn sie keine Zwei-Faktor-Authentifizierung konfiguriert haben. Das Ausschließen von Benutzerkonten von der Zwei-Faktor-Authentifizierung kann für Integrationskonten erforderlich sein, die während der Authentifikation keinen Sicherheitscode verwenden können. Integrationskonten werden verwendet, um Skripte über OpenAPI auszuführen.

   3. Zurücksetzen oder Löschen eines geheimen Schlüssels für die Zwei-Faktor-Authentifizierung (optional)

      Sie können einen geheimen Schlüssel für die Zwei-Faktor-Authentifizierung zurücksetzen, wenn ein Benutzer den Zugriff auf sein Zwei-Faktor-Authentifizierungsgerät verliert oder die Zwei-Faktor-Authentifizierung auf einem neuen Gerät einrichten muss. Sie können auch einen geheimen Schlüssel für Ihr eigenes Konto zurücksetzen.

      Sie können einen geheimen Schlüssel löschen, um einen Benutzer vollständig daran zu hindern, sich bei der Web Console anzumelden, und um zu verhindern, dass der Benutzer auf den Administrationsserver zugreift.

   4. Bearbeiten des Namens eines Sicherheitscode-Ausstellers (optional)

      Wenn Sie mehrere Administrationsserver mit ähnlichen Namen haben, müssen Sie möglicherweise die Namen der Sicherheitscode-Aussteller ändern, damit verschiedene Administrationsserver besser erkannt werden.

Ergebnisse

Nach Abschluss dieses Szenarios:

• Die Zwei-Faktor-Authentifizierung wird für Ihr eigenes Konto und für ein anderes Benutzerkonto konfiguriert, das Zugriff auf den Administrationsserver benötigt.
• Integrationskonten sind von der Zwei-Faktor-Authentifizierung ausgeschlossen.

Siehe auch: Über die Zwei-Faktor-Authentifizierung für ein Benutzerkonto Benutzerkonten von der Zwei-Faktor-Authentifizierung ausschließen

Nach oben