мелкие правки
This commit is contained in:
Левченко Людмила Алексеевна
@@ -105,7 +105,7 @@ ssl.truststore.password=парольотхранилища
|
|||||||
./kafka-topics.sh --bootstrap-server <IP машины 0>:9092,<IP машины 1>:9092,<IP машины X>:9092 --command-config ../config/client.properties --create --topic <имя топика> --partitions <количество партиций> --replication-factor <значение> --config min.insync.replicas=<значение>
|
./kafka-topics.sh --bootstrap-server <IP машины 0>:9092,<IP машины 1>:9092,<IP машины X>:9092 --command-config ../config/client.properties --create --topic <имя топика> --partitions <количество партиций> --replication-factor <значение> --config min.insync.replicas=<значение>
|
||||||
```
|
```
|
||||||
|
|
||||||
Ознакомиться с рекомендациями по настройке топиков можно здесь - рекомендации.
|
**Ознакомиться с рекомендациями по настройке топиков можно в разделе [Настройка топиков](./base-tier-topics-guide.md).**
|
||||||
|
|
||||||
По умолчанию топик создаётся с --partitions 10 --replication-factor 3 --config min.insync.replicas=2, поэтому, если нет необходимости создавать топик со специфическими настройками, эти флаги в команде можно не указывать.
|
По умолчанию топик создаётся с --partitions 10 --replication-factor 3 --config min.insync.replicas=2, поэтому, если нет необходимости создавать топик со специфическими настройками, эти флаги в команде можно не указывать.
|
||||||
|
|
||||||
|
|||||||
@@ -1,19 +0,0 @@
|
|||||||
---
|
|
||||||
section_links:
|
|
||||||
- title: Обзор сервиса
|
|
||||||
link: /security/Cloud-MDM/about.md
|
|
||||||
description:
|
|
||||||
- title: Порядок платежей
|
|
||||||
link: /security/Cloud-MDM/payments.md
|
|
||||||
description:
|
|
||||||
- title: Качественные характеристики сервиса
|
|
||||||
link: /security/Cloud-MDM/characteristics.md
|
|
||||||
description:
|
|
||||||
- title: Сроки и условия предоставления сервиса
|
|
||||||
link: /security/Cloud-MDM/provision.md
|
|
||||||
description:
|
|
||||||
---
|
|
||||||
|
|
||||||
# Cloud Multifactor Authentication (MFA)
|
|
||||||
|
|
||||||
Сервис предназначен для настройки процесса подключения к системе. Процесс состоит из нескольких шагов и требует от пользователя указать дополнительные данные, а не только пароль.
|
|
||||||
@@ -1,34 +0,0 @@
|
|||||||
# Cloud Multifactor Authentication (MFA)
|
|
||||||
|
|
||||||
## Основа сервиса
|
|
||||||
|
|
||||||
Сервис **Cloud Multifactor Authentication (MFA)** используется для настройки процесса входа в систему. Процесс состоит из нескольких шагов и требует от пользователя указать больше информации, а не только пароль. Сервис может быть как отдельным, так и опцией к уже существующим. Сервис реализован на базе российского решения Multifactor.
|
|
||||||
|
|
||||||
## Задачи сервиса
|
|
||||||
|
|
||||||
- Защита информационных систем от несанкционированного доступа и компрометации учетных данных.
|
|
||||||
- Усиленный контроль доступа к данным и приложениям.
|
|
||||||
- Выполнение требований стандартов в сфере информационной безопасности:
|
|
||||||
- PCI-DSS;
|
|
||||||
- HIPAA;
|
|
||||||
- SOX;
|
|
||||||
- NERC;
|
|
||||||
- FISMA;
|
|
||||||
- ISO;
|
|
||||||
- GLBA;
|
|
||||||
- GPG13 и т.д.
|
|
||||||
|
|
||||||
## Особенности и конкурентные преимущества сервиса
|
|
||||||
|
|
||||||
- Сервис работает по принципу zero trust: Multifactor не получает пароли пользователей.
|
|
||||||
- Пользователи могут самостоятельно настроить аутентификацию при первом входе, без регистрации. Функционал работает в браузере без установки плагинов, драйверов и сторонних приложений.
|
|
||||||
- Сервис поддерживает следующие факторы:
|
|
||||||
- бот в Telegram;
|
|
||||||
- биометрия;
|
|
||||||
- U2F;
|
|
||||||
- FIDO;
|
|
||||||
- OTP;
|
|
||||||
- Google Authenticator;
|
|
||||||
- Яндекс.Ключ;
|
|
||||||
- Звонки;
|
|
||||||
- SMS.
|
|
||||||
@@ -1,96 +0,0 @@
|
|||||||
# Компоненты сервиса
|
|
||||||
|
|
||||||
## Виды компонентов
|
|
||||||
|
|
||||||
В зависимости от решаемой задачи и архитектуры защищаемых систем используется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**:
|
|
||||||
|
|
||||||
- личный кабинет администратора;
|
|
||||||
- radius adapter;
|
|
||||||
- ldap adapter;
|
|
||||||
- портал самообслуживания.
|
|
||||||
|
|
||||||
Все перечисленные компоненты разрабатываются и поддерживаются компанией Мультифактор.
|
|
||||||
|
|
||||||
## 1. Личный кабинет администратора
|
|
||||||
|
|
||||||
**Личный кабинет администратора** — это веб-приложение, доступное через интернет. С его помощью ИТ-специалисты управляют четырьмя категориями объектов:
|
|
||||||
|
|
||||||
- пользователями;
|
|
||||||
- группами пользователей;
|
|
||||||
- интеграцией с защищаемыми информационными системами;
|
|
||||||
- списком доступных вторых факторов.
|
|
||||||
|
|
||||||
## 2. Radius Adapter
|
|
||||||
|
|
||||||
**Radius Adapter** — это RADIUS-сервер, обеспечивающий двухфакторную аутентификацию пользователей при удалённом доступе. Компонент поставляется с исходным кодом и работает под управлением Linux.
|
|
||||||
|
|
||||||
::: warning Важно
|
|
||||||
|
|
||||||
Пароль пользователя не передаётся в облако Multifactor и не покидает периметр сети. В облако передаётся только логин — для идентификации пользователя и доставки ему второго фактора.
|
|
||||||
|
|
||||||
:::
|
|
||||||
|
|
||||||
### Возможности
|
|
||||||
|
|
||||||
- приём запросов на аутентификацию по протоколу RADIUS;
|
|
||||||
- проверка первого фактора (логина и пароля) в Active Directory (включая AD LDS) или Network Policy Server;
|
|
||||||
- проверка второго фактора на устройстве пользователя;
|
|
||||||
- настройка второго фактора в режиме диалога с пользователем;
|
|
||||||
- управление доступом на основе членства пользователя в группе AD;
|
|
||||||
- выборочное включение второго фактора в зависимости от членства пользователя в группе AD;
|
|
||||||
- настройка атрибутов RADIUS-ответа на основе членства пользователя в группе AD;
|
|
||||||
- проксирование запросов и ответов Network Policy Server;
|
|
||||||
- отправка журналов событий в Syslog-сервер или SIEM-систему;
|
|
||||||
- режим bypass: при недоступности сервера система может пропускать пользователя без второго фактора или блокировать доступ.
|
|
||||||
|
|
||||||
## 3. LDAP Adapter
|
|
||||||
|
|
||||||
**LDAP Adapter** — это LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP-аутентификацию. Компонент поставляется с исходным кодом и работает под управлением Linux.
|
|
||||||
|
|
||||||
::: warning Важно
|
|
||||||
|
|
||||||
Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только после успешной проверки учётной записи в Active Directory или другом LDAP-каталоге.
|
|
||||||
|
|
||||||
:::
|
|
||||||
|
|
||||||
### Возможности
|
|
||||||
|
|
||||||
- проксирование сетевого трафика по протоколу LDAP;
|
|
||||||
- поиск запросов на аутентификацию и подтверждение вторым фактором на устройстве пользователя;
|
|
||||||
- работа по протоколам LDAP и LDAPS (шифрованный TLS-канал);
|
|
||||||
- перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM;
|
|
||||||
- пропуск запросов от служебных учётных записей (Bind DN) без второго фактора;
|
|
||||||
- настройка доступа на основе принадлежности пользователя к группе AD;
|
|
||||||
- выборочное включение второго фактора в зависимости от принадлежности пользователя к группе AD;
|
|
||||||
- отправка журналов событий в Syslog-сервер или SIEM-систему;
|
|
||||||
- режим bypass: при недоступности API система может пропускать пользователя без второго фактора или блокировать доступ.
|
|
||||||
|
|
||||||
## 4. Портал самообслуживания
|
|
||||||
|
|
||||||
**SelfService Portal (Портал самообслуживания)** — это веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP-каталогов. Компонент поставляется с исходным кодом. В рамках сервиса применяются Linux-версия и Windows-версия.
|
|
||||||
|
|
||||||
### Возможности
|
|
||||||
|
|
||||||
Портал предназначен для установки и работы внутри корпоративной сети. Также портал может быть опубликован для доступа из сети интернет.
|
|
||||||
|
|
||||||
- проверка логина и пароля пользователя в LDAP-каталоге или домене Active Directory (Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения);
|
|
||||||
- настройка второго фактора аутентификации;
|
|
||||||
- смена пароля пользователя после подтверждения второго фактора;
|
|
||||||
- смена просроченного или требующего замены пароля;
|
|
||||||
- единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
|
|
||||||
- выборочное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе;
|
|
||||||
- управление ActiveSync-устройствами для доступа к почте Exchange;
|
|
||||||
- поддержка проверки CAPTCHA на странице входа в портал.
|
|
||||||
|
|
||||||
## Соответствие тарифов и адаптеров
|
|
||||||
|
|
||||||
|Подключаемый сервис | Тип адаптера |
|
|
||||||
|--------------------|-----------------|
|
|
||||||
|NGAF ra VPN | LDAP |
|
|
||||||
|UserGate ra VPN | LDAP |
|
|
||||||
|Pfsense ra VPN | RADIUS |
|
|
||||||
|OWA | Модуль для OWA |
|
|
||||||
|ADFS | Модуль для ADFS |
|
|
||||||
|Vmware horizon VDI | RADIUS |
|
|
||||||
|
|
||||||
Дополнительно прочтите про [настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate](https://multifactor.ru/docs/vpn/usergate-2fa-vpn/).
|
|
||||||
@@ -1,83 +0,0 @@
|
|||||||
# Состав сервиса
|
|
||||||
|
|
||||||
## Варианты услуги
|
|
||||||
|
|
||||||
Сервис **Cloud Multifactor Authentication (MFA)** предлагает два варианта:
|
|
||||||
|
|
||||||
Self-Service,
|
|
||||||
Managed Service.
|
|
||||||
|
|
||||||
Beeline cloud тарифицирует дополнительные работы по фактическим трудозатратам.
|
|
||||||
|
|
||||||
## Личный кабинет администратора
|
|
||||||
|
|
||||||
Личный кабинет администратора — веб-приложение, доступное из сети интернет. Через приложение ИТ-специалисты управляют четыреми элементами:
|
|
||||||
|
|
||||||
- пользователями,
|
|
||||||
- группами пользователей,
|
|
||||||
- интеграцией с защищаемыми информационными системами,
|
|
||||||
- списком доступных вторых факторов.
|
|
||||||
|
|
||||||
## Radius Adapter
|
|
||||||
|
|
||||||
Radius Adapter — RADIUS-сервер, который используется для двухфакторной аутентификации пользователей при использовании удаленного доступа. Компонент доступен вместе с исходным кодом. Radius Adapter использует Linux-версию.
|
|
||||||
|
|
||||||
Radius adapter не передает пароль пользователя в облако Multifactor. Пароль не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора.
|
|
||||||
|
|
||||||
### Возможности
|
|
||||||
|
|
||||||
- Прием запросов на аутентификацию по протоколу RADIUS.
|
|
||||||
- Проверка первого фактора аутентификации — логина и пароля пользователя в Active Directory (в том числе AD LDS) или Network Policy Server.
|
|
||||||
- Проверка второго фактора аутентификации на телефоне пользователя.
|
|
||||||
- Настройка второго фактора в режиме диалога с пользователем.
|
|
||||||
- Настройка доступа на основе принадлежности пользователя к группе в AD.
|
|
||||||
- Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
|
|
||||||
- Настройка атрибутов ответа RADIUS на основе принадлежности пользователя к группе AD.
|
|
||||||
- Проксирование запросов и ответов Network Policy Server.
|
|
||||||
- Запись журналов в Syslog сервер или SIEM-систему.
|
|
||||||
- Режим bypass. В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать.
|
|
||||||
|
|
||||||
## LDAP Adapter
|
|
||||||
|
|
||||||
LDAP Adapter — LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию. Компонент доступен вместе с исходным кодом. LDAP Adapter использует Linux-версию.
|
|
||||||
|
|
||||||
Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только, после успешной проверки учетной записи в Active Directory или другом LDAP каталоге.
|
|
||||||
|
|
||||||
### Возможности
|
|
||||||
|
|
||||||
- Проксирование сетевого трафика по протоколу LDAP.
|
|
||||||
- Поиск запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя.
|
|
||||||
- Работа по протоколам LDAP и LDAPS (шифрованный TLS канал).
|
|
||||||
- Перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM.
|
|
||||||
- Пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора.
|
|
||||||
- Настройка доступа на основе принадлежности пользователя к группе AD.
|
|
||||||
- Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
|
|
||||||
- Звпись журналов в Syslog сервер или SIEM-систему.
|
|
||||||
- Режим bypass. В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать.
|
|
||||||
|
|
||||||
## Портал самообслуживания
|
|
||||||
|
|
||||||
SelfService Portal (Портал самообслуживания) — веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP каталогов. Компонент доступен вместе с исходным кодом. В рамках сервиса применяется Linux-версия и Windows-версии.
|
|
||||||
|
|
||||||
### Возможности
|
|
||||||
|
|
||||||
Портал предназначен для установки и работы внутри корпоративной сети. Портал может быть опубликован для доступа из сети интернет.
|
|
||||||
|
|
||||||
- Проверка логина и пароля пользователя в LDAP-каталоге или домене Active Directory. Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения.
|
|
||||||
- Настройка второго фактора аутентификации.
|
|
||||||
- Смена пароля пользователя после подтверждения второго фактора.
|
|
||||||
- Смена просроченного или требующего замены пароля.
|
|
||||||
- Единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / Oauth.
|
|
||||||
- Избирательное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе.
|
|
||||||
- Управление ActiveSync устройствами для доступа к почте Exchange.
|
|
||||||
- Поддержка проверки CAPTCHA на странице входа в портал.
|
|
||||||
|
|
||||||
## Соответствие тарифов и адаптеров
|
|
||||||
|
|
||||||
Подключаемый сервис Тип адаптера
|
|
||||||
NGAF ra VPN LDAP
|
|
||||||
UserGate ra VPN LDAP
|
|
||||||
Pfsense ra VPN RADIUS
|
|
||||||
OWA Модуль для OWA
|
|
||||||
ADFS Модуль для ADFS
|
|
||||||
Vmware horizon VDI RADIUS
|
|
||||||
Reference in New Issue
Block a user