Начальная настройка портала

Разверните виртуальную машину во внутреннем контуре из образа - https://bit-2fa.ru/downloads/portal.zip

Через консоль подключитесь к ВМ, введите логин и пароль.

Настройка сети

Для удобства создано меню, где необходимо ввести «1» для настройки.

Выберите редактирование

Выберите нужную

Введите IP адрес, Gateway и dns сервера. Есть возможность ввести в домен (Search domain), но это не обязательно.

Сохраните настройки.

Перейдите в основные настройки, активируйте соединение.

Необходимо деактивировать и активировать соединение.

Выйдите в основном меню пункт 3. Проверьте доступность внешних ресурсов, например, ping ya.ru.

Настройка портала

В браузере перейдите по IP адресу, который указали при настройке.

Авторизуйтесь на портале под сервисным пользователем 2fa_sa, пароль 2fa_sa. После первого входа необходимо будет сменить пароль пользователя.

Выйдите и войдите на портал под новым паролем.

Ошибка при входе указывает на отсутствие API ключа, перейдите к настройке:

• Адрес БИТ.Аутентификатор API – адрес центрального сервера, проверяющего лицензии https://bit-2fa.ru:37373 
• Ключ API – ключ, доступный для генерации администраторами клиента после приобретения лицензии.
• Пропускать, если нет связи с БИТ.Аутентификатор API – поведение, если нет связи с центральным сервисом, проверка 2fa отключается, ресурсы, работающие с проверкой 2fa будут либо пускать пользователей, либо отклонять все запросы.
• Проверка второго фактора включена – включение второго фактора.
• Предупреждать о необходимости настроить второй фактор – если у пользователя второй фактор не настроен и при этом нет никаких дополнительных ограничений, при входе на ресурс будет получать предупреждение о необходимости настроить второй фактор. Работает только в тех сервисах, где есть возможность передать сообщение пользователю.
• Адрес Active Directory – имя домена, к которому будет подключаться второй фактор.
• Сервисный пользователь в Active Directory – технический пользователь с правами чтения Active Directory. Техническим считается пользователь, у которого SamAccountName и DisplayName совпадают. Так же можно указать DisplayName или Ldap атрибут (Пример: CN=test,OU=test_ou,DC=domain,DC=local).
• Пароль сервисного пользователя – пароль сервисного пользователя.
• Администраторы (через “;”) – администраторы портала, перечисленные через точку запятой, могут быть как группы Active Directory, так и отдельные пользователи. Администраторы, как и владелец имеет полные права на портале.
• Техподдержка (группы через ";") - сотрудники, которые будут сбрасывать пользователям второй фактор в случае необходимости, а также просматривать журнал.
• Технические пользователи (через ";") - технические пользователи для ресурсов, использующих LDAP подключение.
• Общий секрет RADIUS – произвольный набор символов, указывается при настройке сервисов, использующих RADIUS протокол.
• Адрес портала – DNS адрес портала, по которому пользователь сможет попасть на портал, при начальной настройке необходимо использовать split-brain DNS чтобы портал отвечал по одному и тому же имени, как снаружи, так и внутри.
• SSL сертификат (подробнее) - возможность обновить SSL сертификат в .pfx или .pem формате.
• Продолжительность действия токена авторизации (в часах) – через сколько часов любой веб ресурс повторно запросит авторизацию пользователя.
• Управление устройствами Exchange ActiveSync – Включается для управления устройствами Exchange ActiveSync. При включении в основном меню появляется новая вкладка устройствами Exchange.
• Поле из Active Directory с телефоном пользователя - атрибут в Active Directory, в соответствии с которым портал проверяет номер телефона сотрудника.
• Включить процедуру подтверждения телефона - Включение\отключение функционала проверки телефона. Работает только для Telegram.
• Запретить вход пользователем без подтвержденного телефона - Включение\Отключение возможности входа без подтверждённого телефонного номера.

Установка ssl сертификата.