О двухфакторной аутентификации учетной записи
Kaspersky Security Center Linux предоставляет двухфакторную аутентификацию для пользователей Kaspersky Security Center Web Console. Двухфакторная аутентификация основана на стандарте RFC 6238 (TOTP: Time-Based One-Time Password algorithm – алгоритм временных одноразовых паролей).
При каждом входе в Kaspersky Security Center Web Console пользователь вводит свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Для получения одноразовых кодов безопасности необходимо установить на компьютере или мобильном устройстве приложение для аутентификации.
Может использоваться любое приложение для аутентификации, поддерживающее алгоритм временных одноразовых паролей (TOTP), например, Google Authenticator. Для генерации одноразового кода безопасности системное время, установленное на устройстве с приложением для аутентификации, должно быть синхронизировано со временем, установленным на устройстве с Сервером администрирования. Для большей точности рекомендуется использовать одни и те же NTP-серверы во всей вашей инфраструктуре.
Чтобы проверить, поддерживает ли Kaspersky Security Center Linux то или иное приложение для аутентификации, достаточно попытаться пройти двухфакторную аутентификацию с помощью этого приложения.
На одном из шагов процедуры вводится код безопасности, сгенерированный приложением для аутентификации. Если код принимается, это значит, что Kaspersky Security Center Linux поддерживает выбранное приложение для аутентификации.
Генерация секретного кода с помощью приложения для аутентификации
Приложение для аутентификации генерирует секретный код следующим образом:
- Сервер администрирования генерирует специальный секретный ключ и QR-код.
- Вы передаете сгенерированный секретный ключ или QR-код приложению для аутентификации.
- Приложение для аутентификации генерирует одноразовый код безопасности, который вы передаете в окно аутентификации Сервера администрирования.
Код безопасности имеет идентификатор, называемый также имя издателя. Имя издателя кода безопасности используется в качестве идентификатора Сервера администрирования в приложении для аутентификации. Вы можете изменить имя издателя кода безопасности. Имя издателя кода безопасности имеет значение по умолчанию, такое же, как имя Сервера администрирования. После следующего входа в систему Серверу администрирования будет присвоено новое имя издателя кода безопасности. Код безопасности является одноразовым и действует до 30 секунд (точное время может варьироваться).
Настоятельно рекомендуется сохранить секретный ключ или QR-код и хранить его в надежном месте. Этот поможет вам восстановить доступ к Kaspersky Security Center Web Console в случае потери доступа к мобильному устройству.
Следует учитывать следующие особенности двухфакторной аутентификации:
- Начиная с версии 16.1, двухфакторная аутентификация на Сервере администрирования включается автоматически, а возможность настройки двухфакторной аутентификации при входе в систему выключена по умолчанию. Настройка двухфакторной аутентификации при входе доступна только пользователям, включенным в список разрешений для настройки двухфакторной аутентификации.
- Пользователь может настроить двухфакторную аутентификацию только для своей учетной записи.
- Пользователь может исключить учетные записи из двухфакторной аутентификации. Это может быть необходимо для интеграционных учетных записей, для которых невозможно получение одноразового кода безопасности для аутентификации. Интеграционные учетные записи используются для запуска скриптов с помощью OpenAPI.
- Для генерации нового секретного ключа двухфакторной аутентификации пользователь должен сбросить секретный ключ для своей учетной записи.
- Для сброса или удаления секретного ключа двухфакторной аутентификации других пользователей необходима учетная запись с настроенной двухфакторной аутентификацией и правом Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей.
- Для исключения учетных записей пользователей из двухфакторной аутентификации или изменения списка разрешений для настройки аутентификации необходима учетная запись с настроенной двухфакторной аутентификацией и с правом Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей.
- Двухфакторная аутентификация автоматически включается только для Серверов администрирования версии 16.1. Параметры двухфакторной аутентификации главных или подчиненных Серверов администрирования версии 16 или более ранних останутся неизменными.
- Виртуальные Серверы администрирования наследуют параметры двухфакторной аутентификации от соответствующего физического Сервера администрирования, поэтому, если на физическом Сервере администрирования двухфакторная аутентификация включена, она также включается и на виртуальном Сервере администрирования. Настройка параметров двухфакторной аутентификации на виртуальном Сервере администрирования не поддерживается.
- Для правильной работы двухфакторной аутентификации необходимо обновить Сервер администрирования и Web Console до версии 16.1 или более поздней.
Для обеспечения комплексной защиты с помощью двухфакторной аутентификации должна быть обеспечена безопасность не только Сервера администрирования, но и устройства, на котором Сервер установлен. Соответствующие рекомендации приведены в Руководстве по усилению защиты.
В начало