Autenticação em Duas Etapas no OpManager

Autenticação em duas etapas no OpManager: Autenticação em duas etapas no OpManager: Autenticação em Duas Etapas

A Autenticação em Duas Etapas (TFA) oferece um nível adicional de autenticação e melhora a segurança exigindo que o usuário forneça uma senha única baseada em tempo (TOTP), gerada por aplicativos autenticadores, ou uma senha única (OTP) enviada para o endereço de e-mail configurado do usuário. A TFA fortalece a autenticação e evita acessos não autorizados.

Observação: Este recurso está disponível a partir da versão OpManager 125415.


 

Autenticação em duas etapas no OpManager: página de gerenciamento de usuários

Etapas para configurar a TFA no OpManager

  1. Acesse Configurações - > Configurações Gerais -> Autenticação -> Autenticação em Duas Etapas.
  2. Selecione a opção "Ativar Autenticação em Duas Etapas (TFA)".

  3. Escolha o modo de autenticação desejado: Aplicativos Autenticadores (TOTP via aplicativos autenticadores como, entre outros, Google Authenticator, Microsoft Authenticator, Duo etc.) ou Autenticação por E-mail (OTP enviada para o endereço de e-mail configurado do usuário). 
     

    Observação: As configurações de servidor de e-mail precisam ser configuradas para o modo de Autenticação por E-mail.
  4. Insira o número de dias pelos quais você deseja permitir que o navegador do usuário seja confiável. Ou seja, o usuário não precisará fornecer TOTP/OTP ao fazer login nesse navegador durante o número de dias especificado. Isso será aplicado se o usuário marcar a caixa de seleção para confiar no navegador durante o login.

  5. Clique em "Salvar".
     

    Observação: Se "Aplicativos Autenticadores" for escolhido como modo de autenticação, todos os usuários serão solicitados a configurar seu aplicativo autenticador durante o próximo login.

    Se Aplicativos Autenticadores for o modo de autenticação escolhido:

  6. No próximo login, instale e siga as etapas exibidas na tela para configurar o aplicativo autenticador desejado em seu dispositivo móvel.

  7. Insira o OTP gerado no aplicativo autenticador/E-mail para efetuar login.
     

Etapas de solução de problemas

  • No caso de autenticação baseada em TOTP,
    • Como o TOTP é baseado em tempo, o horário do dispositivo móvel configurado deve estar sincronizado com o horário do servidor.
    • Caso seja necessário um novo segredo TOTP devido à perda do dispositivo móvel configurado ou por qualquer outro motivo semelhante, o usuário administrador pode acessar Configurações -> Configurações Gerais -> Gerenciamento de Usuários e clicar no ícone "Redefinir segredo TOTP" em "Ações" para o respectivo usuário.
    • Se o usuário padrão "admin" não conseguir fazer login no produto e tiver perdido o dispositivo móvel configurado, execute o seguinte script, "ResetSuperAdminTOTP.bat/sh" para redefinir a senha do superadministrador.
  • No caso de autenticação baseada em E-mail,
    • Quando o modo de autenticação é escolhido como "E-mail", o OTP será enviado por e-mail para o ID de e-mail configurado do usuário. Portanto, certifique-se de que você configurou o ID de e-mail correto. O usuário administrador tem privilégios para configurar o ID de e-mail correto, caso o ID de e-mail configurado não esteja correto.
    • Se os usuários não conseguirem receber o OTP por e-mail devido a alteração na configuração do servidor de e-mail, execute o seguinte script, "DisableTFA.bat/sh" para desativar a TFA temporariamente.

Etapas para executar o script

Pode haver um cenário em que o servidor de e-mail apresente problemas ao enviar o OTP por e-mail. Ou se o dispositivo móvel no qual o aplicativo autenticador TOTP foi configurado tiver sido perdido ou estiver inacessível. Nesses cenários, a interface do servidor OpManager não ficará acessível, pois o prompt de OTP não poderá ser concluído.

Nesses casos, para versões anteriores à versão 127257, entre em contato com o nosso suporte. A partir da versão 127257 e superiores, siga as etapas abaixo:

  • Pare completamente o serviço OpManager e abra o arquivo <OpManager_Home>/logs/wrapper.log e verifique se a seguinte linha está disponível no final do arquivo. Isso é para garantir que o serviço OpManager foi completamente interrompido.
  • No Windows, abra o prompt de comando como usuário administrador na máquina de servidor onde o OpManager está instalado. No Linux, abra o terminal como usuário root.
  • Navegue até o diretório <opmanager_home>/bin e execute o arquivo de script.
  • Um prompt será exibido solicitando a senha do usuário superadministrador para validar a operação.
  • Uma mensagem de sucesso será exibida após a execução bem-sucedida do script.

Possíveis erros e resolução

Acesso negado. Execute este script com privilégios de administrador.

  • No Windows, o script deve ser executado como usuário administrador na máquina onde o OpManager está instalado. No Linux, é necessário acesso de usuário root para executar o script. Em caso de acesso insuficiente, a mensagem de erro acima será exibida.

O servidor está em execução no momento. Desligue o servidor para executar este script.

  • O serviço OpManager deve ser completamente interrompido para que o script seja executado. Pare o serviço OpManager pelos serviços do sistema ou executando o script <opmanager_home>/bin/shutdown.bat/sh.
  • Abra o arquivo <OpManager_Home>/logs/wrapper.log e verifique se a seguinte linha está disponível no final do arquivo. Isso é para garantir que o serviço OpManager foi completamente interrompido.

Senha de usuário superadministrador inválida

A senha de usuário superadministrador fornecida é inválida. Qualquer operação adicional será restrita e a execução do script será encerrada. Uma senha válida de usuário superadministrador deve ser fornecida para realizar a operação com sucesso.

Para quaisquer dúvidas adicionais, entre em contato com opmanager-support@manageengine.com.