Как настроить 2-факторную аутентификацию с помощью OTP, доставляемых по электронной почте

Rohos Logon Key позволяет защитить Windows Terminal Server, используя двухфакторную аутентификацию с помощью одноразовых паролей. Использование аутентификатора Google в качестве OTP-генератора требует доставки и хранения секретного ключа OTP на мобильном устройстве конечного пользователя в приложении электронной почты для мобильных устройств, SMS или Google Authenticator.

В целях повышения безопасности вы можете настроить свой сервер для создания и доставки одноразового пароля конечному пользователю с помощью SMS-сообщений или электронной почты, которые являются надежными и бесплатными. С помощью этой функции нет необходимости отправлять секретный ключ OTP и настраивать Google Authenticator на мобильном устройстве конечного пользователя.

Как настроить доставку OTP по электронной почте

Настройка Rohos Logon Key на Windows Terminal Server

Требования к системе:

  1. Бета-версии Rohos Logon Key(v3.6) и Rohos Management tools
  2. Windows 2012 Server и новее;
  3. PowerShell v.3 и новее;
  4. Политика запуска скриптов включена;
    Чтобы включить ее, выполните команду «Set-ExecutionPolicy -ExecutionPolicy RemoteSigned» в консоли PowerShell.
  5. Пользователь должен иметь рабочий адрес e-mail

Как это работает:

Откройте команду Setup OTP token, нажмите OTP settings и отредактируйте скрипт OtpDeliveryScript.ps1:

Настройте основные опции, такие как сервер smtp, email и пароль почтового ящика, с которого будет вестись рассылка OTP:

  • $NotifyByEmail = $true
  • $SmtpServer
  • $SmtpPort
  • $SmtpLogin
  • $SmtpPassword
  • $EmailFrom
  • $Subject

Сохраните скрипт.

Для проверки доставки вам необходимо настроить OTP для тестового пользователя. Выполните команду «Setup OTP logon». Выберите желаемого пользователя, выберите «By e-mail or SMS» и напишите нужный адрес электронной почты. Заполните поле пароля, если необходимо, и нажмите «Enable OTP logon».

Теперь откройте параметры доставки OTP и выберите пользователя. Нажмите кнопку «Test delivery».

Теперь вы можете получать уведомление по электронной почте о заблокированной попытке входа. Вы должны разрешить доступ к менее безопасным приложениям.

Теперь выполните пробную доставку снова.

Настройка пользовательского профиля с 2-фактрной аутентификацией по OTP

  • Запустите Rohos Logon Key > Setup Authentication Key
  • Выберите профиль пользователя
  • Укажите «By Email or SMS» и введите электронный адрес в поле «email».
    (В случае с Active Directory Rohos возьмет e-mail из свойств пользователя, это имеет больший приоритет, чем тот адрес который вы впишите в окне Setup OTP token)
  • Нажмите кнопку Enable OTP login
    Готово.

Не забудьте настроить политику 2FA выбрав опцию «For remote desktop users».

Внимание: Доставка по почте не будет работать, если вместе с OTP возможно использовать и обычный пароль. Если по почте пришел код, состоящий не из шести а из пяти или менее цифр, вначале нужно добавить столько нулей, чтобы получилось шестизначное число.

О использовании Rohos Logon Key на Windows Terminal Server >