#原创分享#SSL VPN新花样TOTP动态令牌认证
  

yzy 168182人觉得有帮助

{{ttag.title}}
本帖最后由 yzy 于 2020-3-18 17:44 编辑

什么是TOTP动态令牌
TOTP,Time-basedOne-TimePassword简写,表示基于时间戳算法的一次性密码。基于客户端的动态口令和动态口令验证服务器的时间比对,一般每30或60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。
TOTP动态令牌类似QQ令牌,QQ令牌是通过指定的算法产生随机密钥,把这个密钥输入到你需要保护的游戏中即可登录,TOTP就是这样的原理,是通过时间戳来计算随机密码

1、SSL VPN配置
①开启SSL VPN的时间同步,由于是使用时间戳来实现计算随机密钥,所以要确保设备能访问到公网进行时间同步,时间同步使用的是域名还要确保配置的DNS能正常解析
注意事项:
修改时间服务会重启所有服务,注意在非业务期间修改时间服务

②在SSL VPN设置->认证设置->辅助认证->TOTP动态令牌中进行进行启用TOTP动态令牌认证,动态口令有限期默认是120秒,也可以修改成150或者180秒

③在SSL VPN设置->用户管理中编辑用户,在辅助认证中勾选令牌认证选择TOTP动态令牌认证(由于TOTP动态令牌是辅助认证,所以必须使用一种主要认证)

2、身份验证器下载
常见的TOTP动态令牌有Google身份验证器、MicrosoftAuthenticator、M令牌等,推荐使用谷歌的
通过手机的应用市场搜索Google身份认证器,如果应用市场没有就到手机的浏览器中进行搜索下载(测试华为的应用市场没找到)
Goole身份验证器下载链接:点击下载

3、PC端登录
①通过浏览器访问SSL VPN的公网地址,在登录界面输入账号密码登录后会提示出动态口令认证,点击下一步
②自动绑定
打开Google身份验证器
点击开始

点击扫描条形码,扫登录界面的二维码

手机会出现一串随机动态口令,点扫描界面的下一步,然后输动态入口令就能登录了


③手动绑定
在扫描二维码界面点击切换绑定方式

把密钥复制发到手机上

打开Google身份验证器,选择输入提供的密钥

输入账户名:账户名是VPN的账号名称,密钥是在登录界面复制的密钥,选择基于时间

手机会出现一串随机动态口令,点扫描界面的下一步,然后输动态入口令就能登录了

4、手机端登录
需要先下载好Google身份验证器
①打开手机的EasyConnect进行登录,登录后会提示动态令牌认证界面

②点击立即绑定后会调到Google身份验证器中,然后点确定保存这个账号

③然后会显示6尾数的随机密钥,把这个密钥填写到登录界面中的动态口令中即可

5、绑定完成后登录效果
①在SSL VPN->用户管理->绑定信息管理->TOTP动态令牌绑定管理中查看绑定状态
如果出现在手机误删除绑定好的动态令牌,可以在这里进行把用户的绑定关系删除,用户再次上线的时候就需要重新绑定动态令牌

②在运行状态->SSL VPN运行状态->在线用户中查看用户的认证类型

6、注意事项
①启用NTP同步后,才能配置TOTP动态令牌,否则配置UI上置灰;
②只支持用户使用PC客户端解绑,不支持移动端的解绑;
③不支持aWork的动态令牌认证,不支持公有用户的TOTP动态令牌认证;
④当以下条件同时满足时,才允许用户重新绑定,即:此条件下,动态令牌认证界面上才会显示“动态口令异常,重新绑定”;
(1)启用“允许用户通过验证码重新绑定TOTP动态令牌”;
(2)用户的短信验证码认证服务器为开启的状态(如果用户未配置短信验证码认证,则其验证码服务器为配置“允许用户通过验证码重新绑定TOTP动态令牌”时勾选的);
(3)若用户的短信验证码认证服务器为手机号的方式,则此用户必须配置手机号;而若用户短信验证码认证服务器为非手机号的方式,则无此限制。
⑤当用户未配置手机号时,而短信验证码服务器配置的是“通过手机号的方式标识用户并发送验证码”,则即使配置了“允许未绑定手机号码的用户登录时自行绑定”仍然不支持重新绑定动态令牌。

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

杨志刚_总部_产品运营 发表于 2020-3-31 21:14
  
非常详细的配置指导,对新人配置OTP认证有很好的指引性。
maoxs 发表于 2020-3-19 10:12
  
学习学习,TOTP非常好用
Sangfor_闪电回_朱丽 发表于 2020-3-19 17:04
  
您好,感谢您参与社区原创分享计划7,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,奖励将在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
沧海 发表于 2020-3-25 10:37
  
学习一下 非常详细
佳佳 发表于 2020-3-25 10:37
  
学习了,谢谢分享!内容与截图都很丰富。TOTP动态令牌,感觉配置有些复杂。
japy 发表于 2020-3-25 18:38
  
很详细的配置步骤,非常不错
tommychen 发表于 2020-3-25 23:39
  
谢谢楼主分享,文章写的很不错,学习了
新手981388 发表于 2020-4-9 10:45
  
疫情当下,vpn好使
胡志冲 发表于 2020-4-16 11:24
  
请教一下,谷歌令牌是否可以直接使用,不需要通过翻墙VPN。
多谢。
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人