本帖最后由 胡辰硕 于 2023-10-25 11:51 编辑
【文档说明】 在桌面云的POC测试项目中,涉及到配置VDC用户名密码+动态令牌的双因素认证情况很少,但并不是没有,想要实现动态令牌认证,POC测试环境下需要搭建动态令牌认证服务器。 本文章参考深信服技服知识库---张华凯大佬的文章,但是其中动态令牌认证服务器,radius和VDC对接过程没有详细描述,这里再补充下。
【实现方式】
VDC先和令牌服务器使用radius协议对接,用户认证时先使用本地用户名密码,用户名密码在VDC本地认证成功后,输入令牌口令,radius协议转发的令牌口令给令牌服务器,令牌服务器校验本地数据库中的密码,成功后返回认证结果,VDC上线用户。 这里是先用CentOS 7.0搭建的是令牌服务器和radius服务器,然后和我们的VDC进行对接。 令牌服务器上面新建用户配置TOTP令牌认证。 TOTP的原理是根据时间戳算法的一次性密码,是通过时间来同步密码的,只要保证你的令牌的时间和服务端的时间一致才行。这里服务器和令牌是不用通信的,不受内外网的影响。
【具体步骤】
1、CentOS 7.0搭建IPA服务器。 本次使用的动态令牌服务器是freeipa,搭建过程可以参考此文档 有兴趣的同学可以尝试自行搭建一个。 也可以参考B站大佬的一个视频: https://www.bilibili.com/video/BV1Dh411m7RS/?spm_id_from=333.337.search-card.all.click
2、用admin用户登录IPA服务器,创建用户:
使用手机微信,小程序搜索FreeOTP扫码即可,也可以选择下载一个谷歌令牌。
3、VDC上面配置对接认证 因为5.6.0支持VMware部署,这里使用的5.6.0,低版本也能实现效果。 添加用户,开启辅助认证,配置令牌认证,选择radius。
4、登录test用户尝试,成功登录客户端。 【需要注意的几个点】
1、用户密码问题 IPA环境搭建起来,用户添加上OTP令牌后,也开启了密码+OTP令牌认证,这里登录时需要输入的密码是你设置的密码 + OTP令牌才能登录
同理,VDC配置用户后,勾选令牌认证,选择对接的第三方radius服务器,用户登录时需要输入的动态口令也是IPA用户的密码+OTP令牌。 2、官方文档中存在一处错误 文档中的这里: /etc/raddb/clients.conf这里需要改一下:
3、raddb的配置需要注意:
[root@localhost]#vim /etc/raddb/clients.conf client localhost { ipaddr = 192.168.3.0/24 ##VDC为ipa radius服务器的client,所以这里的地址集需要把VDC的地址包进去。 proto = * secret = 12345678 ##这里是VDC和radius对接的密钥,需要配置成不加密的PAP
可以在本地测试下radius和IPA用户对接,如果received,表示对接成功。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-12-5 08:38
技术员3级 
