Как настроить 2-факторную аутентификацию с помощью OTP, доставляемых по электронной почте
Rohos Logon Key позволяет защитить Windows Terminal Server, используя двухфакторную аутентификацию с помощью одноразовых паролей. Использование аутентификатора Google в качестве OTP-генератора требует доставки и хранения секретного ключа OTP на мобильном устройстве конечного пользователя в приложении электронной почты для мобильных устройств, SMS или Google Authenticator.
В целях повышения безопасности вы можете настроить свой сервер для создания и доставки одноразового пароля конечному пользователю с помощью SMS-сообщений или электронной почты, которые являются надежными и бесплатными. С помощью этой функции нет необходимости отправлять секретный ключ OTP и настраивать Google Authenticator на мобильном устройстве конечного пользователя.
Как настроить доставку OTP по электронной почте
Настройка Rohos Logon Key на Windows Terminal Server
Требования к системе:
- Бета-версии Rohos Logon Key(v3.6) и Rohos Management tools
- Windows 2012 Server и новее;
- PowerShell v.3 и новее;
- Политика запуска скриптов включена;
Чтобы включить ее, выполните команду «Set-ExecutionPolicy -ExecutionPolicy RemoteSigned» в консоли PowerShell. - Пользователь должен иметь рабочий адрес e-mail
Как это работает:
Откройте опции, еще раз опции ниже поля типа ключа и проверьте наличие скрипта OtpDeliveryScript.ps1:
Нажмите кнопку Edit чтобы открыть файл OtpDeliveryScript.ps1 о настроить основные опции, такие как сервер smtp, email и пароль почтового ящика, с которого будет вестись рассылка OTP:
- $NotifyByEmail = $true
- $SmtpServer
- $SmtpPort
- $SmtpLogin
- $SmtpPassword
- $EmailFrom
- $Subject
Сохраните скрипт.
Для проверки доставки вам необходимо настроить OTP для тестового пользователя. Выполните команду «Setup OTP logon». Выберите желаемого пользователя, выберите «By e-mail or SMS» и напишите нужный адрес электронной почты. Заполните поле пароля, если необходимо, и нажмите «Enable OTP logon».
Теперь откройте параметры доставки OTP и выберите пользователя. Нажмите кнопку «Test delivery».
Теперь вы можете получать уведомление по электронной почте о заблокированной попытке входа. Вы должны разрешить доступ к менее безопасным приложениям.
Теперь выполните пробную доставку снова.
Настройка пользовательского профиля с 2-фактрной аутентификацией по OTP
- Запустите Rohos Logon Key > Setup Authentication Key
- Выберите профиль пользователя
- Укажите «By Email or SMS» и введите электронный адрес в поле «email».
(В случае с Active Directory Rohos возьмет данные из свойств пользователя) - Нажмите кнопку Enable OTP login
Готово.
Не забудьте настроить политику 2FA выбрав одну из опций под «Ограничить вход в Windows».
О использовании Rohos Logon Key на Windows Terminal Server >