Двухэтапная аутентификация

Материал из ISPWiki
Перейти к: навигация, поиск

В данной статье описаны принципы работы Двухфакторной авторизации

Общая информация

Для более надежной защиты Вашей учетной записи Вы можете воспользоваться функцией двухэтапной аутентификации в системе.

Двухэтапная аутентификация— это метод идентификации пользователя при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения.

  • 1 этап: ввод логина и пароля от Вашей учетной записи BILLmanager.
  • 2 этап: ввести специальный 6-значный код, сгенерированный приложением Google Authenticator.

Включение двухэтапной аутентификации для пользователя

Для того, чтобы включить двухэтапную аутентификацию, необходимо сначала произвести настройку учетной записи:

  • Перейти в настройки пользователя (рисунок 1):

1.png

  • В открывшемся окне выбрать пункт «Включить двухфакторную авторизацию» (рисунок 2):

2.png

  • Откроется новая форма, содержащая QR-код, наименование Вашего аккаунта, секретный ключ и поле для ввода одноразового пароля (рисунок 3):

3.png

Необходимо с помощью приложения Google Authenticator сканировать QR-код и ввести сгенерированный 6-ти значный код в поле «Одноразовый пароль». Нажать кнопку «ОК» (см. раздел Google Authenticator).

Google Authenticator

Приложение «Google Authenticator» поддерживается мобильными устройствами Android, iPhone и BlackBerry, может работать без подключения к Интернету или сотовой сети.

Установка и настройка Google Authenticator на Android

Приложение работает на устройствах Android, начиная с версии 2.1.

  • В Google Play введите поисковый запрос Google Authenticator, скачайте и установите приложение.
  • Запустите приложение Google Authenticator (возможно с Google Authenticator будет скачано и установлено приложение «Сканер штрих кодов», его использовать не нужно). При первом запуске выберите пункт «Приступить к настройке» и следуйте указаниям программы.
  • Для настройки двухэтапной авторизации в BILLmanager необходимо включить двухфакторную авторизацию (см. Включение двухэтапной аутентификации для пользователя в BILLmanager). В приложении Google Authenticator нажать кнопку «+», выбрать пункт «Сканировать штрихкод».
  • Направить камеру на QR-код. При успешном сканировании на экране Вашего мобильного устройства появится 6-значный код подтверждения, действительный 30 секунд. Введите данный код в поле «Одноразовый пароль» в BILLmanager (рисунок 3). Если Вы не успели в течении 30 секунд ввести временный пароль, то будет сгенерирован новый.
  • После ввода 6-значного кода в BILLmanager, нажмите кнопку «ОК».

Установка и настройка Google Authenticator на iPhone, iPod, iPad

Приложение Google Authenticator работает на устройствах iPhone, iPod Touch и iPad с iOS 5.0 и более поздних версий. Настроить приложение с помощью QR-кода можно только на iPhone 3G или более новых моделях.

  • В App Store введите поисковый запрос Google Authenticator. скачайте и установите приложение.
  • Запустите приложение, выберите пункт «Приступить к настройке».
  • В открывшемся меню выберите «Сканировать штрихкод».
  • Направьте камеру на QR-код в BILLmanager (см. Настройка в BILLmanager), программа сгенерирует 6-значный код.
  • Введите данный код в в поле поле «Одноразовый пароль» в BILLmanager (рисунок 3). Если Вы не успели в течении 30 секунд ввести временный пароль, то будет сгенерирован новый.
  • После ввода 6-значного кода в BILLmanager, нажмите кнопку «ОК».

Аутентификация

Если для пользователя BILLmanager включена двухэтапная аутентификация, то при входе в систему необходимо выполнить два шага:

  • Ввести логин и пароль от учетной записи (пример в BILLmanager) (рисунок 4):

4.png

  • Далее появится поле для ввода 6-значного кода, сгенерированного Google Authenticator от Вашей учетной записи (рисунок 5). Если будет правильно введен активный код, вход в систему будет успешно выполнен (рисунок 5):

5.png

Отключение двухэтапной аутентификации

Для отключения данной функции:

  • Зайдите в настройки пользователя.
  • Найдите пункт «Отключить двухэтапную аутентификацию», в поле для ввода 6-значного кода введите пароль сгенерированный приложением Google Authenticator.

Решение возникающих проблем

Внимание! Для успешной настройки двухэтапной аутентификации необходимо чтобы время на сервере и на Вашем мобильном устройстве (с установленным Google Authenticator) было синхронизировано.

Если возникает проблема с настройками двухэтапной аутентификации, не подходят временные коды, сгенерированные приложением «Google Authenticator», необходимо проверить:

1. Настройки времени и даты на сервере.

2. Проверить настройки самого приложения Google Authenticator, для этого необходимо перейти в меню «Настройки» - «Коррекция времени для кодов», выбрать пункт «Синхронизировать». На экране появится подтверждение синхронизации времени. Теперь Вы можете использовать временные коды для настройки двухэтапной аутентификации и входа в систему. Синхронизация влияет только на внутреннее время приложения Google Authenticator и не отражается на настройках даты и времени устройства.

3. В случае, если в приложении «Google Authenticator» нет меню «Настройки», то необходимо проверить синхронизацию времени в настройках даты и времени на Вашем мобильном устройстве.

Подтверждение для элементов форм

Также запрос кода подтверждения можно настроить и на элементы форм, используя атрибут requireauth="yes". Для этого создаем плагин MGRNAME_mod_имя-плагина.xml в директории /usr/local/mgr5/etc/xml. Например, для ISPmanager: /usr/local/mgr5/etc/xml/ispmgr_mod_totp.xml

        <?xml version="1.0" encoding="UTF-8"?>
        <mgrdata>
        <metadata name="usrparam" type="form">
             <form>
                <field name="hintview">
                    <select name="hintview" requireauth="yes"/>
                </field>
             </form>
        </metadata>
        </mgrdata>

В данном примере подтверждение кодом будет запрошено при сохранении формы с измененным полем "Подсказки" в форме "Настройки пользователя". Если же атрибут requireauth="yes" поместить в тэг <FORM>, то подтверждение будет запрашиваться при изменении любого поля этой формы.

Подтверждение для групповых операций

Для включения запроса подтверждения при выполнении групповой операции, например включение WWW-домена в ISPmanager, создадим плагин: /usr/local/mgr5/etc/xml/ispmgr_mod_totp.xml

        <?xml version="1.0" encoding="UTF-8"?>
        <mgrdata>
        <metadata  name="webdomain">
            <toolbar>
                <toolbtn name="resume" requireauth="yes"/>
            </toolbar>
        </metadata>
        </mgrdata>

перед выполнением операции выключение WWW-домена будет запрошен код подтверждения.

Важно! При написании плагина на <toolbtn> следует убедиться, что в тэге <toolbtn> присутствует атрибут type="group", и что значение атрибута func составлено по правилу ИМЯ_СПИСКА.ИМЯ_ФУНКЦИИ. В приведенном выше примере у тэга <toolbtn> атрибут func="webdomain.resume.

Более подробная информация о создании плагинов:

ISPmanager: Пример плагина. Добавление пункта меню

ISPmanager: Пример плагина. Смена директории домена

Важная информация

Следует учитывать, что при предоставлении доступа поддержке ISPSystem код подтверждения при входе запрошен не будет.

В случае, если у пользователя включена двухфакторная авторизация, то при попытке входа под именем пользователя с уровня root/Администратор код подтверждения также не будет запрашиваться.

НО если есть плагины, запрашивающие подтверждение для проведения операций, то при попытке провести такую операцию код подтверждения (от имени пользователя, под которым осуществлен вход) будет запрошен.