Data Domain — настройка и включение многофакторной аутентификации

Настройка и включение многофакторной аутентификации для DDOS начиная с версии 7.5 

Стремянка
1. Выберите Администрирование > аутентификации доступа>.
Отобразится представление Аутентификация.
2. Разверните панель Многофакторная аутентификация.
3. Нажмите Настроить.
Откроется диалоговое окно Аутентификация сервера RSA SecurID.
4. Укажите значения конфигурации RSA:

a. В поле URL-адрес сервера укажите URL-адрес сервера RSA.
b. В поле Ключ клиента укажите ключ клиента RSA.
c. В поле Идентификатор клиента укажите идентификатор клиента RSA.
d. При необходимости измените значение времени ожидания подключения в поле Connection Timeout.
e. При необходимости измените значение Время ожидания чтения в поле Время ожидания чтения.
f. В поле Replica URLs при необходимости укажите любые URL-адреса реплик для сервера RSA.

5. Нажмите кнопку ОК.
6. Нажмите + Добавить , чтобы выбрать и добавить сертификат сервера RSA в систему защиты.
7. Нажмите кнопку ОК.
8. Нажмите Включить.
9. Укажите учетные данные сотрудника службы безопасности:
a. В поле Имя пользователя укажите имя сотрудника службы безопасности.
b. В поле Пароль укажите пароль сотрудника службы безопасности.
10. Нажмите кнопку Далее.
11. В поле Пароль укажите пароль системного администратора.
12. Нажмите Готово.
13. При необходимости нажмите Изменить , чтобы изменить значения конфигурации RSA.

Отключение многофакторной аутентификации

Стремянка
1. Выберите Administration > Access > Authentication. Откроется вид «Authentication».
2. Разверните панель Многофакторная аутентификация.
3. Нажмите Disable. Откроется диалоговое окно Отключение RSA SecurID.
4. Укажите учетные данные сотрудника службы безопасности:

a. В поле Имя пользователя укажите имя сотрудника службы безопасности.
b. В поле Пароль укажите пароль сотрудника службы безопасности.
c. В поле «Секретный код» укажите секретный код RSA сотрудника службы безопасности.

5. Нажмите кнопку Далее.
6. Укажите учетные данные системного администратора:

a. В поле Пароль укажите пароль системного администратора.
b. В поле «Passcode» укажите секретный код RSA для системного администратора.

7. Нажмите Finish.

 

Настройка и включение многофакторной аутентификации для DDMC, начиная с 7.11 

Необходимые условия
Многофакторная аутентификация обеспечивает дополнительный уровень безопасности в системе защиты, требуя от пользователей ввода секретного кода RSA SecurID перед входом в систему. Панель Многофакторная аутентификация позволяет пользователю настраивать, включать, изменять и отключать многофакторную аутентификацию. Настроить MFA в DDMC могут только администраторы, и при этом всегда требуется пароль системного администратора.

Перед настройкой MFA добавьте пользователей системы защиты в RSA Authentication Manager.
К DD применяются следующие требования:
● Для локальных пользователей, пользователей NIS или AD сначала добавьте пользователя во внутреннюю базу данных RSA.
● Для пользователей LDAP:

○ Добавьте внешний источник идентификации в консоль управления RSA.
○ Свяжите внешний источник удостоверений в консоли безопасности RSA.
○ Перед включением MFA требуется пользователь для устранения неполадок. Пользователь, выполняющий поиск и устранение неисправностей, может войти в DDMC, чтобы изменить или сбросить систему. Эта роль не имеет секретного кода и не выполняет никаких других возможностей.

● Перед настройкой MFA создайте уникальный идентификатор пользователя для каждого пользователя n RSA Manager:

○ Для локальных пользователей создайте идентификатор пользователя в формате <DDMC username>@<DDMC serial-number>.
ПРИМЕЧАНИЕ: Выполните команду system show serialno, чтобы получить серийный номер системы.
○ Не добавляйте серийный номер системы к идентификаторам пользователей AD или NIS.
○ Что касается разрешений, то только Admin и Admin- могут XYA.

Об этой задаче
MFA для входа поддерживается только для входа с именем пользователя и паролем из пользовательского интерфейса. Он не поддерживается для входа по протоколу SSH, сертификата или токена. RSA SecurID — единственный поддерживаемый сервер многофакторной аутентификации.
ПРИМЕЧАНИЕ: Для успешной аутентификации локальных пользователей необходимо создать соответствующего пользователя на сервере RSA SecurID с идентификатором username@serial-номером. Имя пользователя — это имя локального пользователя.
Чтобы приложения резервного копирования могли обеспечить доступ к системе без секретного кода, MFA для входа в систему позволяет отключить MFA только для пользователя sysadmin.

Стремянка
1. Выберите значок > шестеренки «Настройки» Многофакторная аутентификация.
Отобразится представление Аутентификация.
2. Нажмите Настроить.
Откроется диалоговое окно Аутентификация сервера RSA SecurID.
3. Укажите значения конфигурации RSA:

Значения конфигурации сервера RSA SecurID

Элемент	Описание
URL-адрес сервера	Укажите URL-адрес сервера RSA.
Порт	Укажите номер порта.
Идентификатор клиента	Укажите агента аутентификации с идентификатором клиента RSA.
Ключ клиента	Укажите ключ клиента RSA. (Он также может называться ключом доступа в API аутентификации RSA.)
Таймаут подключения	При необходимости измените значение времени ожидания подключения.
Время ожидания чтения	При необходимости измените значение тайм-аута чтения.
URL-адреса реплик	При необходимости укажите любые URL-адреса реплик для сервера RSA.

4. Нажмите кнопку ОК.
5. Нажмите + Добавить , чтобы выбрать и добавить сертификат сервера RSA в систему защиты.
6. Нажмите кнопку ОК.
7. Нажмите Включить.
8. Укажите учетные данные сотрудника службы безопасности:
a. В поле Имя пользователя укажите имя сотрудника службы безопасности.
b. В поле Пароль укажите пароль сотрудника службы безопасности.
9. Нажмите кнопку Далее.
10. В поле Пароль укажите пароль системного администратора.
11. Нажмите Готово.
12. Проверьте подключение к серверу RSA SecurID: Нажмите Test Connection.
ЗАМЕТКА: Проверка подключения обязательна для MFA для входа в систему. Если соединение не будет проверено, пользователи с участием системного администратора и сотрудника службы безопасности не смогут войти в систему. Тестирование подключения для других пользователей рекомендуется, но не требуется.

Разрешения пользователя DDMC

Роль	Разрешение
Sysadmin (высшая роль администратора DDMC)	Можно тестировать секретные коды для всех пользователей и всех администраторов.
Admin	Может протестировать свой собственный секретный код и всех пользователей ниже.
Администратор с ограниченными правами	Может тестировать свой пароль и всех пользователей.
user	Может тестировать только свой собственный секретный код.

13. Dell Technologies рекомендует создавать пользователя для поиска и устранения неисправностей MFA в ситуациях, когда секретный код RSA не работает. Доступ к системе необходим для отключения MFR или выполнения действий по поиску и устранению неисправностей.
14. При необходимости нажмите Изменить , чтобы изменить значения конфигурации RSA.

ЗАМЕТКА: Если система обнаружит, что MFA включена в одной из систем, но не включена в DDMC, появится баннер с предупреждением. Если MFA включена в одной или нескольких управляемых системах, MFA также должна быть включена в DDMC. В противном случае некоторые функции, связанные с конфигурацией DD, будут недоступны.

Отключение многофакторной аутентификации
Шаг
1. Выберите Администрирование > аутентификации доступа>.
Отобразится представление Аутентификация.
2. Разверните панель Многофакторная аутентификация.
3. Нажмите Отключить.
Откроется диалоговое окно Отключение RSA SecurID.
4. Укажите учетные данные сотрудника службы безопасности: 5. Нажмите кнопку Далее.
6. Укажите учетные данные системного администратора: 7. Нажмите Готово.
ЗАМЕТКА: Для отключения MFA требуется пароль системного администратора.