Как настроить 2-факторную аутентификацию с помощью OTP, доставляемых по электронной почте
Rohos Logon Key позволяет защитить Windows Terminal Server, используя двухфакторную аутентификацию с помощью одноразовых паролей. Использование аутентификатора Google в качестве OTP-генератора требует доставки и хранения секретного ключа OTP на мобильном устройстве конечного пользователя в приложении электронной почты для мобильных устройств, SMS или Google Authenticator.
В целях повышения безопасности вы можете настроить свой сервер для создания и доставки одноразового пароля конечному пользователю с помощью SMS-сообщений или электронной почты, которые являются надежными и бесплатными. С помощью этой функции нет необходимости отправлять секретный ключ OTP и настраивать Google Authenticator на мобильном устройстве конечного пользователя.
Как настроить доставку OTP по электронной почте
Настройка Rohos Logon Key на Windows Terminal Server
Требования к системе:
- Бета-версии Rohos Logon Key(v3.6) и Rohos Management tools
- Windows 2012 Server и новее;
- PowerShell v.3 и новее;
- Политика запуска скриптов включена;
Чтобы включить ее, выполните команду «Set-ExecutionPolicy -ExecutionPolicy RemoteSigned» в консоли PowerShell. - Пользователь должен иметь рабочий адрес e-mail
Как это работает:
Откройте команду Setup OTP token, нажмите OTP settings и отредактируйте скрипт OtpDeliveryScript.ps1:
Настройте основные опции, такие как сервер smtp, email и пароль почтового ящика, с которого будет вестись рассылка OTP:
- $NotifyByEmail = $true
- $SmtpServer
- $SmtpPort
- $SmtpLogin
- $SmtpPassword
- $EmailFrom
- $Subject
Сохраните скрипт.
Для проверки доставки вам необходимо настроить OTP для тестового пользователя. Выполните команду «Setup OTP logon». Выберите желаемого пользователя, выберите «By e-mail or SMS» и напишите нужный адрес электронной почты. Заполните поле пароля, если необходимо, и нажмите «Enable OTP logon».
Теперь откройте параметры доставки OTP и выберите пользователя. Нажмите кнопку «Test delivery».
Теперь вы можете получать уведомление по электронной почте о заблокированной попытке входа. Вы должны разрешить доступ к менее безопасным приложениям.
Теперь выполните пробную доставку снова.
Настройка пользовательского профиля с 2-фактрной аутентификацией по OTP
- Запустите Rohos Logon Key > Setup Authentication Key
- Выберите профиль пользователя
- Укажите «By Email or SMS» и введите электронный адрес в поле «email».
(В случае с Active Directory Rohos возьмет e-mail из свойств пользователя, это имеет больший приоритет, чем тот адрес который вы впишите в окне Setup OTP token) - Нажмите кнопку Enable OTP login
Готово.
Не забудьте настроить политику 2FA выбрав опцию «For remote desktop users».
Внимание: Доставка по почте не будет работать, если вместе с OTP возможно использовать и обычный пароль. Если по почте пришел код, состоящий не из шести а из пяти или менее цифр, вначале нужно добавить столько нулей, чтобы получилось шестизначное число.
О использовании Rohos Logon Key на Windows Terminal Server >