이중 인증
이중 인증은 보안의 추가 계층을 추가합니다. 사용자의 세션에 대한 접근을 방지합니다. 비밀번호를 아는 사람이 있더라도. .
두 가지 다른 요소의 조합이 더 높은 수준의 보안을 달성하는 데 사용됩니다:
-
그들이 아는 무언가, 비밀번호 .
-
그들이 가진 것, 하나 인증 앱이 설치된 스마트폰과 같은 장치. .
다음 인증기 앱 중 하나를 사용하여 진행할 수 있습니다. 이러한 앱은 다양한 플랫폼에서 사용할 수 있습니다.
사용자가 원격 세션에 로그인할 때마다 비밀번호와 모바일 전화에서 사용할 수 있는 인증 코드가 필요합니다. 설정이 완료되면 인증기 앱이 로그인할 수 있도록 인증 코드를 표시합니다. 장치가 오프라인 상태일 때도 작동합니다.
또는 인증 코드를 수신할 방법을 결정할 수 있습니다. SMS 이 경우, 무료 계정을 만들어야 합니다. 트윌리오 .
그 2FA 코드 생성은 TOTP입니다. (시간 기반 일회용 비밀번호), 따라서 단일 사용을 위한 것입니다.
따라서 이미 사용된 2FA 코드를 재사용할 수 없습니다. 이는 사용자가 코드를 입력하는 동안 관찰하여 2FA 코드를 도용하고 사용하는 것을 방지합니다.
요구 사항
이중 인증은 TSplus Remote Access를 요구합니다. 모바일 웹 또는 기업 에디션.
이중 인증이 지원됩니다:
-
TSplus Remote Access 웹 포털 HTML5 및 Remoteapp 연결 모두에 대해
-
TSplus 연결 클라이언트, 버전 15.30.3.15 이후에 생성된 클라이언트를 위해, 2FA 지원이 명시적으로 활성화되었습니다. 확인하세요. 2단계 인증을 위한 휴대용 클라이언트 생성기 지원
-
2FA는 Windows 사용자와 관련이 있으며 웹 자격 증명과는 관련이 없습니다.
이 인증 모드는 표준 Microsoft Remote Desktop 클라이언트(mstsc.exe)를 통한 로그인을 지원하지 않습니다.
보다 안전한 솔루션을 제공하기 위해 2FA가 활성화된 사용자에 대한 RDP 연결이 거부됩니다.
사전 조건으로, TSplus 서버와 장치가 제시간에 있어야 합니다. 다음을 참조하십시오. 시간 동기화 그리고 설정 구성 정보에 대한 추가 섹션.
이중 인증 추가 기능 라이선스 활성화
Two-Factor Authentication 기능은 AdminTool의 Add-On 탭에서 찾을 수 있습니다.
다음 단계를 수행하여 TSplus 서버 또는 배포에 대한 이중 인증을 활성화하십시오. TSplus 배포가 여러 서버를 사용하도록 구성된 경우, 사용자에 대한 단일 진입점으로 노출된 TSplus 서버 또는 리버스 프록시 역할을 하는 서버에서 이 작업을 수행하십시오.
- 이중 인증 관리 애플리케이션을 엽니다. 이중 인증 상태와 라이센스 상태가 표시됩니다.
기본적으로, TSplus 게이트웨이 및 독립형 애플리케이션 서버에 대해 2FA가 활성화되어 있습니다.
TSplus 애플리케이션 서버에 대해서만 인증 서버 URL을 입력하여 활성화할 수 있습니다.
비활성화하거나:
사용자 및 그룹 추가
이중 인증이 활성화되면 사용자를 이중 인증에 대해 구성할 수 있습니다.
-
이중 인증 관리 애플리케이션에서 클릭하십시오. 사용자 관리 탭.
-
그런 다음 클릭하십시오 추가 사용자 및/또는 사용자 그룹을 선택합니다. 사용자 또는 그룹 선택 상자가 열립니다.
- 필요한 만큼 사용자와 그룹을 추가한 후 클릭하세요. 좋습니다. 사용자와 그룹이 목록에 추가되고 이중 인증이 활성화됩니다.
사용자/그룹을 추가하는 명령어는 다음과 같습니다.
가능한 인수의 3가지 유형:
도메인 이름만
TwoFactor.Admin.exe /addusers domainName1
- 기본값으로 사용자를 추가합니다(수신 방법 = 앱, 이메일 및 전화 필드가 입력되지 않음).
도메인 이름 및 수신 방법
TwoFactor.Admin.exe /addusers domainName1;SMS
- 원하는 수신 방법으로 사용자를 추가하지만 활성화하려고 시도하지 않습니다.
도메인 이름, 접수 방법, 전화 필드(비어 있어도), 이메일 필드(비어 있어도)
*TwoFactor.Admin.exe /addusers domainName1;SMS;+33606060606;
username1@truc.net
도메인 이름2;이메일;;
username2@truc.net
도메인이름3;SMS;+33606060607;도메인이름4
- HMI에서와 동일한 동작으로, 사용자를 추가한 후 올바른 정보로 편집할 때: 사용자를 활성화하려고 합니다.
마지막 예제에서 보여준 것처럼 여러 사용자를 표시할 수 있습니다(공백으로 구분). 사용자의 다양한 필드는 세미콜론으로 구분됩니다.
단일 그룹용:
TwoFactor.Admin.exe /addgroups group1 group2 group3
사용자 편집
같은 타일에서 사용자를 선택하고 “편집” 버튼을 클릭하여 사용자가 인증 코드를 받는 방식을 수정할 수 있습니다.
사용자는 기본적으로 인증 앱에서 인증 코드를 받습니다. 옵션을 선택하여 SMS 또는 이메일로 받을 수 있습니다.
선택한 SMS와 사용자의 전화번호를 필드에 추가하거나 선택한 EMAIL과 사용자의 이메일을 추가했습니다.
사용자 및 그룹 제거
사용자 또는 그룹을 제거하려면 사용자를 선택하거나 그룹을 선택한 다음 클릭하십시오. 제거하다 확인 메시지가 표시됩니다.
클릭 네 사용자 또는 그룹이 목록에서 제거되며 더 이상 이중 인증을 사용하여 연결되지 않습니다.
사용자 구성 재설정
사용자의 인증 장치를 분실한 경우 또는 사용자가 비밀 QR 코드를 다시 표시해야 하는 경우, 사용자 인증 설정을 재설정해야 합니다.
-
이중 인증 관리 애플리케이션에서 클릭하십시오. 사용자 관리 탭.
-
하나 이상의 활성화된 사용자를 선택한 다음 클릭하세요. 재설정 확인 메시지가 표시됩니다.
- 클릭 네 선택된 사용자들은 다음 로그인 시 새로운 QR 코드를 제공받게 되며, 자신의 기기 인증 앱에서 이를 스캔해야 합니다.
사용자의 전화번호를 수정하여 새로운 장치에서 인증 코드를 받을 수 있습니다.
사용자를 이중 인증에 등록하기
사용자가 이중 인증을 사용하도록 활성화되면, TSplus 웹 포털에서 다음 성공적인 로그인 시 활성화 메시지가 표시됩니다.
필요한 단계를 완료하기 위해 두 가지 선택이 있습니다: 인증 앱을 통해 코드를 생성하거나, 사용자가 SMS로 코드를 받도록 할 수 있습니다.
인증자 애플리케이션으로 코드를 받으세요
사용자는 스마트폰과 같은 휴대용 장치에 인증기 앱을 설치해야 합니다.
다음 인증기 앱 중 하나를 사용하여 진행할 수 있습니다. 이러한 앱은 다양한 플랫폼에서 사용할 수 있습니다.
각 앱 문서를 참조하여 TSplus 계정을 추가하는 방법에 대한 자세한 내용을 확인하시기 바랍니다.
SMS 구성
사용자가 SMS로 인증 코드를 받으려면 먼저 이를 활성화해야 합니다. 클릭하세요. SMS 구성 탭:
TSplus는 SMS로 인증 코드를 전송하기 위해 Twilio를 활용합니다. Twilio는 TSplus와 제휴하지 않은 제3자 클라우드 플랫폼입니다.
- 무료 계정을 생성하세요. 트윌리오 아래의 “Twilio로 무료 체험 시작” 버튼을 클릭하여:
- 당신의 트윌리오 계정 대시보드 귀하의 체험판 번호를 활성화해야 합니다.
- 다음 단계는 체험판 버전에서만 필요합니다. 이는 Twilio가 SMS가 전송될 실제 전화번호를 확인할 수 있도록 합니다.
이 번호를 아래에 입력하세요 “전화번호” 메뉴 - “확인된 발신자 ID” 탭 :
- 그런 다음 계정 SID, 인증 토큰 및 입력할 수 있습니다. 시험 번호 전화번호로서 SMS 구성 TSplus의 탭:
그런 다음 저장을 클릭하십시오. 다음 메시지가 표시됩니다:
당신은 Twilio 구독을 관리할 수 있습니다. 트윌리오 구독 관리 섹션, 하단의 SMS 구성 계정을 관리하고, 서비스 상태를 확인하거나 해당 버튼을 클릭하여 Twilio 지원 센터에 문의하세요.
이메일 구성
사용자가 이메일로 인증 코드를 받으려면 먼저 SMTP 이메일을 구성해야 합니다.
2단계 인증을 사용하여 로그인
사용자가 인증 앱에서 TSplus 계정을 설정하면, 비밀번호와 인증 앱에서 제공하는 코드, SMS 또는 이메일을 사용하여 연결할 수 있습니다.
TSplus Remote Access 웹 포털에서:
TSplus에서 생성된 클라이언트:
TSplus 애플리케이션 서버와 클라이언트 장치는 동일한 시간을 공유해야 합니다. 이는 서버의 시간과 날짜가 시간 서버와 동기화되어야 함을 의미합니다. 클라이언트 장치도 구성된 시간대와 관계없이 시간 동기화가 필요합니다.
인증 요청이 날짜와 시간이 동기화되지 않은 장치에서 오거나 서버의 날짜와 시간이 동기화되지 않은 경우, 이 요청은 거부될 수 있습니다.
장치와 서버 간의 정보 검증은 UTC 시간과 관련이 있습니다.
안에 설정 섹션, 불일치 매개변수는 코드의 유효 기간을 30초 간격으로 관리하는 데 사용됩니다.
유효성 검사 또는 유효한 인증의 예:
- 서버가 시간 서버와 동기화되어 있으며, 시간대는 UTC + 2이고, 현재 시간은 오후 2시 30분입니다.
- 장치가 시간 서버와 동기화되어 있으며, 시간대는 UTC + 1이고, 현재 시간은 오후 1시 30분입니다.
- 불일치 매개변수는 60으로 설정되어 있으며, 즉 코드 유효 기간은 30분입니다.
- UTC 시간에 따라 장치 시간과 서버 시간이 동일합니다.
유효성 검사 또는 잘못된 인증의 예:
- 서버가 시간 서버와 동기화되어 있으며, 시간대는 UTC + 2이고, 현재 시간은 오후 2시 30분입니다.
- 장치가 시간 서버와 동기화되지 않았습니다. 시간대는 UTC-1이며, 시간은 수동으로 오후 1시 30분으로 설정되어 있습니다.
- 불일치 매개변수는 60으로 설정되어 있으며, 즉 코드 유효 기간은 30분입니다.
- 서버 시간이 UTC 시간으로 12:30 AM입니다.
- 장치에서 전달된 시간은 UTC 시간으로 오후 2시 30분입니다.
- 차이는 120분이며, 따라서 유효성 검사 코드는 거부됩니다.
설정
설정 탭을 사용하면 사용자가 RDP 클라이언트를 사용하여 두 번째 인증 코드를 입력할 필요 없이 연결할 수 있도록 허용합니다.
“추가” 버튼을 클릭하여 사용자를 추가하고, 사용자를 선택한 후 “제거” 버튼을 클릭하여 사용자를 제거합니다.
고급 탭을 사용하면 Two-Factor Authentication의 심층 설정을 구성할 수 있습니다.
불일치
불일치 값을 수정할 수 있으며, 이를 통해 인증 코드의 유효성 검사 시간을 설정할 수 있습니다.
3의 불일치는 동일한 인증 코드가 원래 30초 유효 기간의 90초 전후로 유효하다는 것을 의미합니다. 기본값은 480으로, 이는 480 x 30초 = 4시간을 의미합니다.
발급자
이 문자열은 이중 인증 서비스의 이름을 나타냅니다. 발급자는 클라이언트 모바일 앱에 표시되며 생성된 인증 코드와 연결된 서비스를 식별합니다. 기본적으로 TSplus와 함께 서버의 이름으로 구성됩니다.
첫 세션 후 유효성
사용자가 이전의 이중 인증 코드를 재검증하지 않고 세션을 열 수 있는 기간입니다. 이 설정은 사용자가 웹 애플리케이션 포털에서 애플리케이션을 연속적으로 열 수 있도록 허용합니다. 기본값은 480분입니다.
첫 세션 전 유효성
사용자가 웹 포털 또는 모바일 앱에서 이중 인증 코드를 확인한 후 세션을 열 수 있는 기간(초 단위). 기본값은 3600초입니다.
숫자
사용자에게 표시할 숫자의 개수입니다. 이 설정은 인증 앱에서 지원되지 않을 수 있습니다. 이 숫자는 4 이상 12 이하이어야 합니다. 기본값은 6입니다.
SMS 인증 코드 메시지
사용자가 SMS를 통해 수신하도록 설정된 경우 확인 코드를 요청하는 메시지가 전송됩니다. 이 메시지에는 실제 확인 코드로 대체될 %CODE% 자리 표시자가 포함되어야 합니다. 기본값은 다음과 같습니다: 귀하의 %ISSUER% 확인 코드는: %CODE%입니다.
SMS 보안 기간
사용자가 SMS를 통해 인증 코드를 요청할 때 기간이 시작됩니다. 이 기간 동안 사용자는 요청한 SMS의 수가 임계값(시간 단위, 기본값은 24시간)에 도달할 때까지 SMS를 통해 새로운 인증 코드를 요청할 수 있습니다.
SMS 보안 임계값
임계값은 각 사용자가 지정된 기간 동안 요청할 수 있는 SMS 인증 코드의 최대 수를 정의합니다(기본값은 6입니다).
