Настройка двухфакторной аутентификации

Двухфакторная аутентификация включена автоматически, начиная с Сервера администрирования версии 16.1. Глобальный параметр выключения двухфакторной аутентификации не поддерживается. Этот сценарий содержит шаги по настройке двухфакторной аутентификации при первом входе в систему и настройке параметров двухфакторной аутентификации на Сервере администрирования.

Этапы

Настройка двухфакторной аутентификации состоит из следующих этапов:

1. Установка приложения для аутентификации на устройство

   Вы можете установить любое приложение для аутентификации, которое поддерживает алгоритм формирования одноразового пароля на основе времени (TOTP), такие как:

   • Google Authenticator.
   • Microsoft Authenticator.
   • Bitrix24 OTP.
   • Яндекс ключ.
   • Avanpost Authenticator.
   • Aladdin 2FA.
   • Рутокен OTP.

   Чтобы проверить, поддерживает ли Kaspersky Security Center Linux приложение для аутентификации, которое вы хотите использовать, включите двухфакторную аутентификацию для всех пользователей или для определенного пользователя.

   Один из шагов предполагает, что вы указываете код безопасности, сгенерированный приложением для аутентификации. В случае успеха Kaspersky Security Center Linux поддерживает выбранное приложение для аутентификации.

   Категорически не рекомендуется устанавливать приложение для аутентификации на то же устройство, с которого управляется Сервер администрирования.

2. Синхронизация времени на устройстве с приложением аутентификации со временем устройства, на котором установлен Сервер администрирования

   Убедитесь, что время на устройстве с приложением для аутентификации и время на устройстве с Сервером администрирования синхронизированы с UTC. Для большей точности рекомендуется использовать одни и те же NTP-серверы во всей вашей инфраструктуре. Иначе возможны сбои при настройке двухфакторной аутентификации.

3. Настройка двухфакторной аутентификации для учетных записей пользователей при входе в Web Console

   Выполните вход в Web Console и настройте двухфакторную аутентификацию.

   Если вам недоступна настройка двухфакторной аутентификации, обратитесь к пользователю, у которого есть право Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей и для которого настроена двухфакторная аутентификация, чтобы добавить вашу учетную запись в список допущенных к настройке двухфакторной аутентификации.

4. Настройка параметров двухфакторной аутентификации на Сервере администрирования

   Если вы настроили двухфакторную аутентификацию и у вас есть право Изменение списков управления доступом объектов в функциональной области Общие функции: Права пользователей, вы можете настроить следующие параметры двухфакторной аутентификации на Сервере администрирования:

   1. Просмотр списка пользователей, которые могут настроить двухфакторную аутентификацию при входе в систему.
      • Для чистой установки Сервера администрирования 16.1: добавьте нужных пользователей в список разрешений для настройки двухфакторной аутентификации, чтобы они могли настроить двухфакторную аутентификацию при первом входе в систему.
      • Для обновления или восстановления до Сервера администрирования 16.1: просмотрите список разрешенных двухфакторной аутентификации и удалите учетные записи, которые не должны иметь доступа к Серверу администрирования.
   2. Исключение учетных записей пользователей, для которых не требуется включать двухфакторную аутентификацию (не обязательно).

      Исключите учетные записи пользователей из двухфакторной аутентификации, чтобы разрешить им войти на Сервер администрирования, даже если у них не настроена двухфакторная аутентификация. Исключение учетных записей из двухфакторной аутентификации может потребоваться для учетных записей, которые не могут предоставить код безопасности во время аутентификации. Интеграционные учетные записи используются для запуска скриптов с помощью OpenAPI.

   3. Сброс или удаление секретного ключа двухфакторной аутентификации (не обязательно).

      Вы можете сбросить секретный ключ двухфакторной аутентификации, если пользователь теряет доступ к своему устройству двухфакторной аутентификации или ему нужно настроить двухфакторную аутентификацию на новом устройстве. Вы также можете сбросить секретный ключ для своей учетной записи.

      Вы можете удалить секретный ключ, чтобы полностью заблокировать вход пользователя в Web Console и запретить пользователю доступ к Серверу администрирования.

   4. Изменение имени издателя кода безопасности (не обязательно)

      Если у вас несколько Серверов администрирования с похожими именами, возможно, вам придется изменить имена издателей кода безопасности для лучшего распознавания разных Серверов администрирования.

Результаты

После выполнения этого сценария:

• Двухфакторная аутентификация настраивается как для вашей учетной записи, так и для другой учетной записи пользователя, которому требуется доступ к Серверу администрирования.
• Интеграционные учетные записи исключены из двухфакторной аутентификации.

См. также: О двухфакторной аутентификации учетной записи Исключение учетных записей из двухфакторной аутентификации

В начало