Данный раздел описывает настройку профилей мультифакторной аутентификации с использованием CLI. Настройка профилей MFA производится на уровне users mfa-profiles. Можно создать несколько типов профилей:
-
MFA через TOTP: использование токена TOTP (Time-based One Time Password) в качестве второго фактора аутентификации.
-
MFA через email: использование одноразового пароля, полученного по email, в качестве второго фактора аутентификации.
-
MFA через SMS: использование одноразового пароля, полученного по SMS, в качестве второго фактора аутентификации.
Команда для удаления профиля мультифакторной аутентификации:
Admin@UGOS# delete users mfa-profiles <mfa-name>
Для отображения информации о всех профилях или об определённом профиле MFA используются следующие команды:
Admin@UGOS# show users mfa-profiles
Admin@UGOS# set users mfa-profilesz <mfa-name>
12.8.8.1. Настройка MFA через TOTP¶
В зависимости от выбранного способа получения первоначального кода для инициализации TOTP (на странице Captive-портала, по email, по SMS) будет доступен разный список параметров, которые необходимо указать. Получение возможно:
-
по email:
Admin@UGOS# create users mfa-profiles mfa-totp smtp
-
по SMS:
Admin@UGOS# create users mfa-profiles mfa-totp smpp
-
отображение на странице Captive-портала после первой успешной авторизации:
Admin@UGOS# create users mfa-profiles mfa-totp key-on-captiveportal
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля MFA. |
|
description |
Описание профиля MFA. |
|
totp-qr-code |
QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента. |
|
notification-sender |
Отправитель сообщения. Указать имя (в случае использования SMPP-профиля) или email (в случае использования SMTP-профиля). |
|
notification-subject |
Тема оповещения при использовании оповещений по email. |
|
notification-body |
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками (""). |
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-totp <mfa-totp-name>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
12.8.8.2. Настройка MFA через email¶
Команда для добавления нового профиля мультифакторной аутентификации через email:
Admin@UGOS# create users mfa-profiles mfa-email smtp <smtp-profile>
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля MFA. |
|
description |
Описание профиля MFA. |
|
notification-sender |
Email отправителя сообщения. |
|
notification-subject |
Тема оповещения. |
|
notification-body |
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками (""). |
|
code-lifetime |
Срок действия одноразового пароля; указывается в секундах. |
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-email <mfa-email-profile>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.
12.8.8.3. Настройка MFA через SMS¶
Команда для добавления нового профиля мультифакторной аутентификации через email:
Admin@UGOS# create users mfa-profiles mfa-sms smpp <smpp-profile>
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля MFA. |
|
description |
Описание профиля MFA. |
|
notification-sender |
Имя отправителя сообщения. |
|
notification-body |
Тело письма. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. Текст оповещения обособляется кавычками (""). |
|
code-lifetime |
Срок действия одноразового пароля; указывается в секундах. |
Для обновления параметров используется следующая команда:
Admin@UGOS# set users mfa-profiles mfa-sms <mfa-sms-profile>
Параметры, доступные для обновления, совпадают с параметрами, доступными при создании профиля.