大家好,我是大白,咬定青山不放松,立根原在破岩中。千磨万击还坚劲,任尔东西南北风。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
好的今天分享的是深信服VPN之腾讯云TOTP动态令牌对接实施分享,因为客户原设备的配置并未改变,只是针对TOTP动态令牌做了对应的设备配置使用。
首先我们需要先了解一下什么是动态令牌,它包含2AF、OTP、HOTP、TOTP今天针对项目实施只简单的进行叙述一下,后面会发布详细的动态令牌的演变以及原理剖析。
动态令牌:动态口令是根据专门的算法生成一个不可预测的随机数字组合,一个密码使用一次有效,被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。 动态口令是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态口令就无需定期修改密码,安全省心,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。 动态令牌即是用来生成动态口令终端。
常见的动态令牌有: Google 身份验证器、Microsoft Authenticator、M 令牌等,本次用的是Google身份验证器
SSL首页:
记录好设备ID以及相关授权的确认:
配置好NTP服务器(因为 TOTP 是基于时间戳一次性密码,要保证设备时间和公网时间保持一致,否则可能导致认证出现异常,一定要开启时间同步):
.
*常见的授时服务器的地址如下:
微软授时服务器:time.windows.com
苹果授时服务器:time.apple.com
NTP 授时快速域名服务中国节点:cn.ntp.org.cn
阿里云授时服务器:ntp.aliyun.com
中国科学院国家授时中心NTP授时服务器地址:ntp.ntsc.ac.cn
腾讯云NTP授时服务器地址:
ntp.tencent.com ntp1.tencent.com ntp2.tencent.com ntp3.tencent.com ntp4.tencent.com ntp5.tencent.com
教育网内的授时服务器:
time.edu.cn s2c.time.edu.cn s2f.time.edu.cn s2k.time.edu.cn
设备部署模式(单臂模式):
用户配置:
资源配置:
角色配置:
认证设置:
辅助认证:
*动态口令有效时间:指的是 SSL VPN 设备的时间与手机的时间前、后误差在 120 秒(默认)以内,都认为产生的验证码是有效的。目的是为了减少时间误差而导致的验证码认证失败。
编辑需要使用TOTP认证的用户:
查看TOTP动态令牌绑定关系(在绑定关系中可以看到用户的类型、认证服务器和绑定动态令牌的时间;管理员也可以手动删除绑定关系。):
用户丢失手机或误删除令牌软件等,除了可以联系管理员手动删除以外,还可以以短信验证码的方式验证后,自助重新绑定,需要SSL VPN配置短信平台对接下面大体说一下。
通过VPN对接短信网关的相关参数配置好:
接完成后,在【SSL VPN 配置】-【认证设置】-【认证策略】-【短信验证码设置】中开启“允许用户通过验证码重新绑定 TOTP 动态令牌”,并且选择对应发送验证码的短信网关。
打开 SSL VPN 的接入页面,输入账号密码后,第一次需要绑定令牌,如下图所示:
手机下载了Google 身份验证器后,点击 下一步 :
手机端Google扫码验证:
扫码完成绑定以后:
登陆完成,进入资源界面:
用户第二次登录,输入账号密码后,直接输入令牌的口令即可,无需再次绑定,除非删除了绑定关系。
手机端也是一样的:
绑定完成后,返回到手机 EasyConnect,点击 我已绑定 即可完成绑定。
绑定完成后,在手机 EasyConnect 中输入令牌验证码。
然后登录进用户正常使用。
以上就是本次的深信服VPN之腾讯云短信网关TOTP动态令牌实施分享,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
读书而不思考,等于吃饭而不消化。——波尔克
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!! |