#原创分享#SSL VPN新花样TOTP动态令牌认证
  

yzy 4272

{{ttag.title}}
本帖最后由 yzy 于 2020-3-18 17:44 编辑

什么是TOTP动态令牌
TOTP,Time-basedOne-TimePassword简写,表示基于时间戳算法的一次性密码。基于客户端的动态口令和动态口令验证服务器的时间比对,一般每30或60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。
TOTP动态令牌类似QQ令牌,QQ令牌是通过指定的算法产生随机密钥,把这个密钥输入到你需要保护的游戏中即可登录,TOTP就是这样的原理,是通过时间戳来计算随机密码

1、SSL VPN配置
①开启SSL VPN的时间同步,由于是使用时间戳来实现计算随机密钥,所以要确保设备能访问到公网进行时间同步,时间同步使用的是域名还要确保配置的DNS能正常解析
注意事项:
修改时间服务会重启所有服务,注意在非业务期间修改时间服务
1.jpg

②在SSL VPN设置->认证设置->辅助认证->TOTP动态令牌中进行进行启用TOTP动态令牌认证,动态口令有限期默认是120秒,也可以修改成150或者180秒
2.png
3.png

③在SSL VPN设置->用户管理中编辑用户,在辅助认证中勾选令牌认证选择TOTP动态令牌认证(由于TOTP动态令牌是辅助认证,所以必须使用一种主要认证)
4.png

2、身份验证器下载
常见的TOTP动态令牌有Google身份验证器、MicrosoftAuthenticator、M令牌等,推荐使用谷歌的
通过手机的应用市场搜索Google身份认证器,如果应用市场没有就到手机的浏览器中进行搜索下载(测试华为的应用市场没找到)
Goole身份验证器下载链接:点击下载
6.png
7.png

3、PC端登录
①通过浏览器访问SSL VPN的公网地址,在登录界面输入账号密码登录后会提示出动态口令认证,点击下一步
5.png
8.png
②自动绑定
打开Google身份验证器
点击开始
9.png

点击扫描条形码,扫登录界面的二维码
10.jpg

手机会出现一串随机动态口令,点扫描界面的下一步,然后输动态入口令就能登录了
11.png

③手动绑定
在扫描二维码界面点击切换绑定方式
12.png

把密钥复制发到手机上
17.png

打开Google身份验证器,选择输入提供的密钥
12.jpg

输入账户名:账户名是VPN的账号名称,密钥是在登录界面复制的密钥,选择基于时间
18.png

手机会出现一串随机动态口令,点扫描界面的下一步,然后输动态入口令就能登录了
11.png

4、手机端登录
需要先下载好Google身份验证器
①打开手机的EasyConnect进行登录,登录后会提示动态令牌认证界面
19.png

②点击立即绑定后会调到Google身份验证器中,然后点确定保存这个账号
20.png

③然后会显示6尾数的随机密钥,把这个密钥填写到登录界面中的动态口令中即可
20.png
21.png

5、绑定完成后登录效果
①在SSL VPN->用户管理->绑定信息管理->TOTP动态令牌绑定管理中查看绑定状态
如果出现在手机误删除绑定好的动态令牌,可以在这里进行把用户的绑定关系删除,用户再次上线的时候就需要重新绑定动态令牌
22.png

②在运行状态->SSL VPN运行状态->在线用户中查看用户的认证类型
23.png

6、注意事项
①启用NTP同步后,才能配置TOTP动态令牌,否则配置UI上置灰;
②只支持用户使用PC客户端解绑,不支持移动端的解绑;
③不支持aWork的动态令牌认证,不支持公有用户的TOTP动态令牌认证;
④当以下条件同时满足时,才允许用户重新绑定,即:此条件下,动态令牌认证界面上才会显示“动态口令异常,重新绑定”;
(1)启用“允许用户通过验证码重新绑定TOTP动态令牌”;
(2)用户的短信验证码认证服务器为开启的状态(如果用户未配置短信验证码认证,则其验证码服务器为配置“允许用户通过验证码重新绑定TOTP动态令牌”时勾选的);
(3)若用户的短信验证码认证服务器为手机号的方式,则此用户必须配置手机号;而若用户短信验证码认证服务器为非手机号的方式,则无此限制。
⑤当用户未配置手机号时,而短信验证码服务器配置的是“通过手机号的方式标识用户并发送验证码”,则即使配置了“允许未绑定手机号码的用户登录时自行绑定”仍然不支持重新绑定动态令牌。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

杨志刚_总部_产品运营 发表于 2020-3-31 21:14
  
非常详细的配置指导,对新人配置OTP认证有很好的指引性。
maoxs 发表于 2020-3-19 10:12
  
学习学习,TOTP非常好用
Sangfor_闪电回_朱丽 发表于 2020-3-19 17:04
  
您好,感谢您参与社区原创分享计划7,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,奖励将在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
沧海 发表于 2020-3-25 10:37
  
学习一下 非常详细
佳佳 发表于 2020-3-25 10:37
  
学习了,谢谢分享!内容与截图都很丰富。TOTP动态令牌,感觉配置有些复杂。
japy 发表于 2020-3-25 18:38
  
很详细的配置步骤,非常不错
tommychen 发表于 2020-3-25 23:39
  
谢谢楼主分享,文章写的很不错,学习了
新手981388 发表于 2020-4-9 10:45
  
疫情当下,vpn好使
胡志冲 发表于 2020-4-16 11:24
  
请教一下,谷歌令牌是否可以直接使用,不需要通过翻墙VPN。
多谢。
发表新帖
热门标签
全部标签>
每日一问
信服课堂视频
技术笔记
GIF动图学习
项目案例
产品连连看
专家分享
在线直播
新版本体验
技术咨询
技术圆桌
答题自测
功能体验
每日一记
安装部署配置
排障笔记本
原创分享
测试报告
畅聊IT
SDP百科
专家问答
上网策略
云计算知识
干货满满
网络基础知识
安全攻防
VPN 对接
SANGFOR资讯
MVP
升级
日志审计
问题分析处理
流量管理
运维工具
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

25
63
82

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人