Настройка профилей MFA (мультифакторной аутентификации)

ID статьи: 225
Последнее обновление: 31 янв, 2023
Documentation:
Product: UserGate NGFW
Version: 7.0.1

Данный раздел описывает настройку профилей мультифакторной аутентификации с использованием CLI. Настройка профилей MFA производится на уровне users mfa-profiles. Можно создать несколько типов профилей:

  • MFA через TOTP: использование токена TOTP (Time-based One Time Password) в качестве второго фактора аутентификации.

  • MFA через email: использование одноразового пароля, полученного по email, в качестве второго фактора аутентификации.

  • MFA через SMS: использование одноразового пароля, полученного по SMS, в качестве второго фактора аутентификации.

Команда для удаления профиля мультифакторной аутентификации:

Admin@UGOS# delete users mfa-profiles <mfa-name>

Для отображения информации о всех профилях или об определённом профиле MFA используются следующие команды:

Admin@UGOS# show users mfa-profiles
Admin@UGOS# set users mfa-profilesz <mfa-name>

Настройка MFA через TOTP

В зависимости от выбранного способа получения первоначального кода для инициализации TOTP (на странице Captive-портала, по email, по SMS) будет доступен разный список параметров, которые необходимо указать. Получение возможно:

  • по email:

    Admin@UGOS# create users mfa-profiles mfa-totp smtp
  • по SMS:

    Admin@UGOS# create users mfa-profiles mfa-totp smpp
  • отображение на странице Captive-портала после первой успешной авторизации:

    Admin@UGOS# create users mfa-profiles mfa-totp key-on-captiveportal

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

totp-qr-code

QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента.

notification-sender

Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля).

notification-subject

Тема оповещения при использовании оповещений по email.

notification-body

Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-totp <mfa-totp-name>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Настройка MFA через email

Команда для добавления нового профиля мультифакторной аутентификации через email:

Admin@UGOS# create users mfa-profiles mfa-email smtp <smtp-profile>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

notification-sender

Email отправителя сообщения.

notification-subject

Тема оповещения.

notification-body

Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").

code-lifetime

Срок действия одноразового пароля; указывается в секундах.

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-email <mfa-email-profile>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Настройка MFA через SMS

Команда для добавления нового профиля мультифакторной аутентификации через SMS:

Admin@UGOS# create users mfa-profiles mfa-sms smpp <smpp-profile>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

notification-sender

Имя отправителя сообщения.

notification-body

Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками ("").

code-lifetime

Срок действия одноразового пароля; указывается в секундах.

Для обновления параметров используется следующая команда:

Admin@UGOS# set users mfa-profiles mfa-sms <mfa-sms-profile>

Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 225
Последнее обновление: 31 янв, 2023
Ревизия: 4
Просмотры: 4163
Комментарии: 0
Теги