支持 LDAP、RADIUS 和 TACACS 双因素身份验证 (2FA)

多因素身份验证是当今的最佳实践，大多数组织要求网络设备至少采用两个身份验证因素才能满足合规性标准。 双因素身份验证是一种安全机制，产品通过该机制在两个级别上对用户进行身份验证。 只有在两个级别都成功验证后才授予访问权限。

从 NetScaler Console 14.1-43.x 及更高版本开始，本地 NetScaler Console 支持双因素身份验证 (2FA)。 您可以使用 LDAP、RADIUS 和 TACACS 作为本地 NetScaler 控制台的身份验证因素。

笔记：

双因素身份验证支持仅适用于外部服务器身份验证。

当用户尝试登录启用了双因素身份验证的 NetScaler 控制台时，系统会提示用户输入初始外部身份验证的用户名和密码。 初始身份验证成功后，系统将提示用户进行第二级身份验证。

仅当两个密码都成功验证后，用户才算完全认证。 如果身份验证失败，则会向用户显示失败的原因。

如果用户在本地进行身份验证，则必须在 NetScaler 控制台数据库中创建用户配置文件。 如果用户在外部进行身份验证，则用户名和密码必须与在外部身份验证服务器中注册的用户身份相匹配。

配置双因素身份验证

1. 登录到本地 NetScaler 控制台并导航到 设置 > 身份验证 > 身份验证设置。
2. 在 外部服务器身份验证 部分中，单击 身份验证模式下的 启用双因素身份验证 。

3. 在 启用双因素身份验证 页面上，在 步骤 1：主服务器下，单击 添加服务器。

   

4. 单击 选择服务器 并选择所需的服务器。 单击 添加 然后单击 完成。

   

5. 在 启用双因素身份验证 页面上，在 步骤 2：辅助服务器下，单击 添加服务器。
6. 在 双因素身份验证标签字段中，输入将用于向配置了第二因素身份验证的服务器进行身份验证的标签。

7. 单击 选择服务器 并选择所需的服务器。 单击 添加 然后单击 完成。

   

8. 点击 提交。

用户通过双因素身份验证访问 NetScaler 控制台

1. 在 Web 浏览器中，键入 NetScaler 控制台的 IP 地址。 出现登录页面。

   

2. 在 用户名 和 密码 字段中输入用户名和密码。 此步骤是第一步身份验证。

3. 第一个因素的身份验证成功后，系统会提示用户进行第二个因素的身份验证。 输入为第二因素身份验证配置的标签。

   

4. 成功通过第二个因素的身份验证后，用户将登录到 NetScaler 控制台 GUI。