本帖最后由 yzy 于 2020-3-18 17:44 编辑
什么是TOTP动态令牌
TOTP,Time-basedOne-TimePassword简写,表示基于时间戳算法的一次性密码。基于客户端的动态口令和动态口令验证服务器的时间比对,一般每30或60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。TOTP动态令牌类似QQ令牌,QQ令牌是通过指定的算法产生随机密钥,把这个密钥输入到你需要保护的游戏中即可登录,TOTP就是这样的原理,是通过时间戳来计算随机密码
1、SSL VPN配置 ①开启SSL VPN的时间同步,由于是使用时间戳来实现计算随机密钥,所以要确保设备能访问到公网进行时间同步,时间同步使用的是域名还要确保配置的DNS能正常解析 注意事项: 修改时间服务会重启所有服务,注意在非业务期间修改时间服务
②在SSL VPN设置->认证设置->辅助认证->TOTP动态令牌中进行进行启用TOTP动态令牌认证,动态口令有限期默认是120秒,也可以修改成150或者180秒
③在SSL VPN设置->用户管理中编辑用户,在辅助认证中勾选令牌认证选择TOTP动态令牌认证(由于TOTP动态令牌是辅助认证,所以必须使用一种主要认证)
2、身份验证器下载 常见的TOTP动态令牌有Google身份验证器、MicrosoftAuthenticator、M令牌等,推荐使用谷歌的 通过手机的应用市场搜索Google身份认证器,如果应用市场没有就到手机的浏览器中进行搜索下载(测试华为的应用市场没找到)
3、PC端登录 ①通过浏览器访问SSL VPN的公网地址,在登录界面输入账号密码登录后会提示出动态口令认证,点击下一步 ②自动绑定 打开Google身份验证器 点击开始
点击扫描条形码,扫登录界面的二维码
手机会出现一串随机动态口令,点扫描界面的下一步,然后输动态入口令就能登录了
③手动绑定 在扫描二维码界面点击切换绑定方式
把密钥复制发到手机上
打开Google身份验证器,选择输入提供的密钥
输入账户名:账户名是VPN的账号名称,密钥是在登录界面复制的密钥,选择基于时间
手机会出现一串随机动态口令,点扫描界面的下一步,然后输动态入口令就能登录了
4、手机端登录 需要先下载好Google身份验证器①打开手机的EasyConnect进行登录,登录后会提示动态令牌认证界面
②点击立即绑定后会调到Google身份验证器中,然后点确定保存这个账号
③然后会显示6尾数的随机密钥,把这个密钥填写到登录界面中的动态口令中即可
5、绑定完成后登录效果 ①在SSL VPN->用户管理->绑定信息管理->TOTP动态令牌绑定管理中查看绑定状态 如果出现在手机误删除绑定好的动态令牌,可以在这里进行把用户的绑定关系删除,用户再次上线的时候就需要重新绑定动态令牌
②在运行状态->SSL VPN运行状态->在线用户中查看用户的认证类型
6、注意事项 ①启用NTP同步后,才能配置TOTP动态令牌,否则配置UI上置灰; ②只支持用户使用PC客户端解绑,不支持移动端的解绑; ③不支持aWork的动态令牌认证,不支持公有用户的TOTP动态令牌认证; ④当以下条件同时满足时,才允许用户重新绑定,即:此条件下,动态令牌认证界面上才会显示“动态口令异常,重新绑定”; (1)启用“允许用户通过验证码重新绑定TOTP动态令牌”; (2)用户的短信验证码认证服务器为开启的状态(如果用户未配置短信验证码认证,则其验证码服务器为配置“允许用户通过验证码重新绑定TOTP动态令牌”时勾选的); (3)若用户的短信验证码认证服务器为手机号的方式,则此用户必须配置手机号;而若用户短信验证码认证服务器为非手机号的方式,则无此限制。 ⑤当用户未配置手机号时,而短信验证码服务器配置的是“通过手机号的方式标识用户并发送验证码”,则即使配置了“允许未绑定手机号码的用户登录时自行绑定”仍然不支持重新绑定动态令牌。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-3-31 21:14
发表于 2020-3-19 17:04
技术专家1级 
