設定雙步驟驗證

從管理伺服器版本 16.1 開始，雙因素驗證將自動啟用。不支援全域停用雙因素驗證的選項。此情景提供了在首次登入時配置雙因素驗證以及在管理伺服器上配置雙因素驗證設定的步驟。

階段

雙因素驗證的設定分階段進行：

1. 在裝置上安裝驗證應用程式

   您可以安裝任何支援基於時間的一次性密碼演算法 (TOTP) 的應用程式，例如：

   • Google Authenticator
   • Microsoft Authenticator
   • Bitrix24 OTP
   • Yandex ID
   • Avanpost 驗證器
   • Aladdin 2FA
   • Rutoken OTP

   要檢查卡巴斯基安全管理中心 Linux 是否支援要使用的身份驗證器應用程式，請為所有使用者或特定使用者啟用雙因素驗證。

   其中步驟之一建議您指定由身分驗證器應用程式產生的安全代碼。如果成功，則 卡巴斯基安全管理中心 Linux 支援所選的身分驗證器。

   我們強烈建議不要在與管理伺服器建立連線的同一台裝置上安裝身分驗證應用程式。

2. 將身分驗證器應用程式裝置上的時間與安裝了管理伺服器的裝置的時間同步

   確保具有身分驗證應用程式的裝置上的時間和具有管理伺服器的裝置上的時間與UTC同步。為了提高準確性，我們建議在整個基礎設施中使用相同的NTP伺服器。否則，在設定雙因素驗證時可能會發生故障。

3. 為使用者帳號登入網頁主控台時設定雙因素驗證

   登入網頁主控台並設定雙因素驗證。

   如果您無法設定雙因素驗證，請聯絡具有一般功能：使用者權限功能區中修改物件ACL權限且已設定雙因素驗證的使用者，將您的帳戶新增至雙因素驗證允許清單中。

4. 在管理伺服器上設定雙因素驗證設定

   如果您已設定雙步驟驗證並具有一般功能：使用者權限功能區域中修改物件ACL權限，則可以如下在管理伺服器上配置雙步驟驗證設定：

   1. 檢視可在登入時設定雙因素驗證的使用者清單
      • 對於全新安裝管理伺服器 16.1的使用者：將所需使用者新增至雙因素驗證允許清單中，以便他們能夠在首次登入時設定雙因素驗證。
      • 要升級或恢復到管理伺服器16.1：查看雙因素驗證允許清單，並刪除不應有權存取管理伺服器的帳戶。
   2. 排除不需要啟用雙因素驗證的使用者帳戶（可選）

      將使用者帳戶從雙因素驗證中排除，以便即使他們未設定雙因素驗證，也能登入管理伺服器。對於在身分驗證期間無法提供安全碼的整合帳戶，可能需要將帳戶從雙因素驗證中排除。整合帳戶用於透過OpenAPI執行指令碼。

   3. 重設或刪除雙因素驗證密鑰（可選）

      當使用者無法存取其雙因素驗證裝置，或需要在新裝置上設定雙因素驗證時，您可以重設雙因素驗證密鑰。您也可以重設自己帳戶的密鑰。

      您可以刪除密鑰以完全阻止使用者登入網頁主控台並阻止其存取管理伺服器。

   4. 編輯安全碼簽發者的名稱（可選）

      如果您有多個具有相似名稱的管理伺服器，則可能必須變更安全碼簽發者的名稱，以便更進一步識別不同的管理伺服器。

結果

完成此情境後：

• 雙因素驗證設定適用於您自己的帳戶以及需要存取管理伺服器的其他使用者帳戶。
• 整合帳戶將排除在雙因素驗證之外。

另請參閱： 關於帳戶的雙因素驗證 從雙因素驗證中排除帳戶

頁頂