Как настроить 2-факторную аутентификацию с помощью OTP, доставляемых по электронной почте

Rohos Logon Key позволяет защитить Windows Terminal Server, используя двухфакторную аутентификацию с помощью одноразовых паролей. Использование аутентификатора Google в качестве OTP-генератора требует доставки и хранения секретного ключа OTP на мобильном устройстве конечного пользователя в приложении электронной почты для мобильных устройств, SMS или Google Authenticator.

В целях повышения безопасности вы можете настроить свой сервер для создания и доставки одноразового пароля конечному пользователю с помощью SMS-сообщений или электронной почты, которые являются надежными и бесплатными. С помощью этой функции нет необходимости отправлять секретный ключ OTP и настраивать Google Authenticator на мобильном устройстве конечного пользователя.

Как настроить доставку OTP по электронной почте

Настройка Rohos Logon Key на Windows Terminal Server

Требования к системе:

  1. Бета-версии Rohos Logon Key(v3.6) и Rohos Management tools
  2. Windows 2012 Server и новее;
  3. PowerShell v.3 и новее;
  4. Политика запуска скриптов включена;
    Чтобы включить ее, выполните команду «Set-ExecutionPolicy -ExecutionPolicy RemoteSigned» в консоли PowerShell.
  5. Пользователь должен иметь рабочий адрес e-mail

Как это работает:

Откройте опции, еще раз опции ниже поля типа ключа и проверьте наличие скрипта OtpDeliveryScript.ps1:

Нажмите кнопку Edit чтобы открыть файл OtpDeliveryScript.ps1 о настроить основные опции, такие как сервер smtp, email и пароль почтового ящика, с которого будет вестись рассылка OTP:

  • $NotifyByEmail = $true
  • $SmtpServer
  • $SmtpPort
  • $SmtpLogin
  • $SmtpPassword
  • $EmailFrom
  • $Subject

Сохраните скрипт.

Для проверки доставки вам необходимо настроить OTP для тестового пользователя. Выполните команду «Setup OTP logon». Выберите желаемого пользователя, выберите «By e-mail or SMS» и напишите нужный адрес электронной почты. Заполните поле пароля, если необходимо, и нажмите «Enable OTP logon».

Теперь откройте параметры доставки OTP и выберите пользователя. Нажмите кнопку «Test delivery».

Теперь вы можете получать уведомление по электронной почте о заблокированной попытке входа. Вы должны разрешить доступ к менее безопасным приложениям.

Теперь выполните пробную доставку снова.

Настройка пользовательского профиля с 2-фактрной аутентификацией по OTP

  • Запустите Rohos Logon Key > Setup Authentication Key
  • Выберите профиль пользователя
  • Укажите «By Email or SMS» и введите электронный адрес в поле «email».
    (В случае с Active Directory Rohos возьмет данные из свойств пользователя)
  • Нажмите кнопку Enable OTP login
    Готово.

Не забудьте настроить политику 2FA выбрав одну из опций под «Ограничить вход в Windows».

О использовании Rohos Logon Key на Windows Terminal Server >