配置双重身份验证

从管理服务器版本16.1开始，双重身份验证将自动启用。不支持禁用双重身份验证的全局选项。本方案提供了在首次登录时配置双重身份验证以及在管理服务器上配置双重身份验证设置的步骤。

阶段

分阶段配置双重身份验证：

1. 在设备上安装认证应用

   您可以安装任何支持基于时间的一次性密码算法 (TOTP) 的应用程序，例如：

   • Google Authenticator
   • Microsoft Authenticator
   • Bitrix24 OTP
   • Yandex ID
   • Avanpost 验证器
   • Aladdin 2FA
   • Rutoken OTP

   要检查 Kaspersky Security Center Linux 是否支持您要使用的身份验证应用，请为所有用户或特定用户启用双重身份验证。

   其中一个步骤会建议您指定由身份验证应用生成的安全码。如果成功，则 Kaspersky Security Center Linux 支持所选的身份验证应用。

   我们强烈建议不要在与管理服务器建立连接的同一台设备上安装身份验证应用。

2. 将安装了认证应用的设备的时间与安装了管理服务器的设备的时间同步

   确保已安装认证应用的设备上的时间和已部署管理服务器的设备上的时间与 UTC 同步。为了提高准确性，建议在整个基础架构中使用相同的 NTP 服务器。否则，在配置双重身份验证时可能会出现故障。

3. 在用户账户登录 Web Console 时，为其配置双重身份验证

   登录云控制台并配置双重身份验证。

   如果您无法配置双重身份验证，请联系具有常规功能：用户权限功能区域中修改对象ACL权限且已配置双重身份验证的用户，将您的帐户添加到双重身份验证允许列表中。

4. 在管理服务器上配置双重身份验证设置

   如果您已配置双重身份验证并具有常规功能常规功能用户权限用户权限修改对象ACL权限，则可以按如下方式在管理服务器上配置双重身份验证设置：

   1. 查看可在登录时配置双重身份验证的用户列表
      • 对于全新安装管理服务器16.1的用户：将所需用户添加到双重身份验证允许列表中，以便他们能够在首次登录时配置双重身份验证。
      • 升级或恢复到管理服务器 16.1 时：查看双重身份验证允许列表，并删除不应有权访问管理服务器的账户。
   2. 排除不需要启用双重身份验证的用户账户（可选）

      将用户账户从双重身份验证中排除，允许这些账户即使未配置双重身份验证，也能登录管理服务器。对于在身份验证期间无法提供安全代码的集成账户，可能有必要从双重身份验证中排除这些账户。集成账户用于通过 OpenAPI 运行脚本。

   3. 重置或删除双重身份验证 secret key（可选）

      当用户无法访问其双重身份验证设备或需要在新设备上设置双重身份验证时，您可以重置双重身份验证的密钥。您还可以重置自己账户的 secret key。

      您可以删除 secret key，从而完全阻止用户登录 Web Console 和访问管理服务器。

   4. 编辑安全码颁发者的名称（可选）

      如果您有多个具有相似名称的管理服务器，则可能需要更改安全码颁发者名称，以便更好地识别不同的管理服务器。

结果

完成此方案后：

• 您的用户账户和另一个需要访问管理服务器的用户账户均已配置双重身份验证。
• 集成账户即从双重身份验证中排除。

另请参阅： 关于账户的双重身份验证 从双重身份验证中排除账户

页面顶部