【托管云】SSL VPN TOTP动态令牌认证操作配置
  

新手897177 134521人觉得有帮助

{{ttag.title}}
一、部署说明
1、产品介绍
  TOTP,Time-based One-Time Password 简写,表示基于时间戳算法的一次性密码。基于客户端的动态口令和动态口令验证服务器的时间比对,一般每 30 或60 秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。

2、工作原理
      SSL 设备能够与基于 TOTP 协议的动态令牌结合实现双因素认证保障帐号的安全性。常见的 TOTP 动态令牌有 Google 身份验证器、Microsoft Authenticator、M 令牌等,本配置指导以 Google 身份验证器为例。
二、部署准备
1、环境准备
启用云平台 SSL VPN 功能,启用操作步骤如下:
登录控制台,“产品与服务” “网络拓扑”。需要管理员提前分配需要的额度,将分配好的 VPN 拖至子网下进行配置,填写的授权以及勾选开通的功能选项。确定后等待 1 分钟左右即可启用。注意:可开通的授权数以及功能受服务商给予的配额限制。
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps1.jpg
2、资源准备
确认 VPN 授权有效期
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps2.jpg
三、部署步骤
1、开始同步系统时间
因为 TOTP 是基于时间戳一次性密码,要保证设备时间和公网时间保持一致,否则可能导致认证出现异常。
在控制台【系统设置】-【系统配置】-【时间与日期】中开启“自动与时间服务器同步”的功能。
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps17.jpg
常见的公网时间服务器有:
微软授时服务器:time.windows.com
苹果授时服务器:time.apple.com Ø
NTP 授时快速域名服务中国节点:cn.ntp.org.cn Ø
阿里云授时服务器:ntp.aliyun.com
注:同步时间服务会重启 SSL VPN 服务,请合理安排时间。 使用域名授时服务器需要依赖 DNS 解析,请在网口配置处填写可以解析的DNS。NTP 协议使用 UDP 123 端口通信,若内网部署请放通此端口。
2、开启TOTP 动态令牌认证
在控制台【SSL VPN 设置】-【认证设置】-【辅助认证】-【TOTP 动态令牌认证】中点击【设置】 按钮。
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps18.jpg
启用 TOTP 动态令牌即可。
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps19.jpg
动态口令有效时间:指的是 SSL VPN 设备的时间与手机的时间前、后误差在120 秒(默认)以内,都认为产生的验证码是有效的。目的是为了减少时间误差而导致的验证码认证失败。
3、用户/用户组开启动态令牌认证
在控制台【SSL VPN 设置】-【用户管理】中,选择需要开启 TOTP 认证的的用户/用户组,点击 编辑 按钮。

file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps20.jpg
开启令牌认证,选择 TOTP 动态令牌认证,然后点击【保存】
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps21.jpg

4、查看绑定关系
在控制台【SSL VPN 设置】-【用户管理】中,选择【绑定关系管理】–【TOTP 动态令牌绑定管理】查看绑定关系。在绑定关系中可以看到用户的类型、认证服务器和绑定动态令牌的时间;若终端用户丢失手机或误删除令牌软件等,管理员也可以手动删除绑定关系。
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps22.jpg
5、VPC网络出口添加映射
file:///C:/Users/SXF-AD~1/AppData/Local/Temp/ksohtml8728/wps23.jpg
四、常见问题
1. 启用 NTP 同步后,才能配置 TOTP 动态令牌,否则配置 UI 上置灰;
2. 只支持用户使用 PC 客户端解绑,不支持移动端的解绑;
3. 不支持 aWork 的动态令牌认证,不支持公有用户的 TOTP 动态令牌认证;
4. 当以下条件同时满足时,才允许用户重新绑定,即:此条件下,动态令牌认证界面上才会显示“动态口令异常,重新绑定”;
① 启用“允许用户通过验证码重新绑定 TOTP 动态令牌”;
② 用户的短信验证码认证服务器为开启的状态(如果用户未配置短信验证码认证,则其验证码服务器为配置“允许用户通过验证码重新绑定 TOTP 动态令牌”时勾选的);
③ 若用户的短信验证码认证服务器为手机号的方式,则此用户必须配置手机号;而若用户短信验证码认证服务器为非手机号的方式,则无此限制。
5. 当用户未配置手机号时,而短信验证码服务器配置的是“通过手机号的方式标识用户并发送验证码”,则即使配置了“允许未绑定手机号码的用户登录时自行绑定”仍然不支持重新绑定动态令牌。

打赏鼓励作者,期待更多好文!

打赏
55人已打赏

包清晨 发表于 2022-11-9 11:23
  

每天学习一点新知识,谢谢分享
angelccn 发表于 2022-11-9 11:31
  
每天学习一点新知识,谢谢分享
新手780102 发表于 2022-11-9 13:28
  
每天学习一点新知识,谢谢分享
暗夜星空 发表于 2022-11-9 15:10
  
坚持每日学习打卡
新手031815 发表于 2022-11-9 16:23
  


每天学习一点新知识,谢谢分享
新手612152 发表于 2022-11-9 16:27
  
每天学习一点新知识,谢谢分享
司马缸砸了光 发表于 2022-11-9 16:44
  
每天学习一点新知识,谢谢分享
新手078326 发表于 2022-11-9 17:18
  

内容很详细,非常感谢
原鹏程 发表于 2022-11-9 20:59
  
感谢楼主分享,努力学习中!!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人