我公司正計劃在我們的機器(用於維護)中引入對服務工具具有較高安全性要求的用戶登錄。到現在爲止,我們用一個簡單的PW登錄,這個PW逐漸被大家熟知。2FA身份認證管理認證
新的身份驗證方法應該需要2FA。每個服務技術人員都配備了智能手機,因此我想到了以下認證過程:
服務技術人員的電話號碼將在服務器上註冊(與機器無關),他們將能夠請求代碼只能通過這款手機與機器的序列號結合使用。該代碼將在請求者的智能手機上自動發送。通過此代碼,服務技術人員可以在機器上登錄,並且他可以訪問服務工具。
我的問題是:我聽說很多關於身份管理和框架以及公/私鑰方法。 問題的關鍵在於我們的機器正在脫機運行。因此,第一個要求是我們能夠管理服務器上的服務技術人員(服務技術人員的添加/刪除權限)(名稱,ID等),以便他們可以請求代碼(2FA),其次是他們可以即使機器處於脫機狀態,也可以在機器上登錄。
如何管理機器上的登錄與服務器端的身份管理解耦?是否有更簡單的方式在安全性較高的離線機器上進行登錄?
基於用戶的認證
首先你要將系統的(基於LDAP)中央身份管理服務器連接。有了這個,每個用戶都將擁有自己的賬戶,並且您將擁有一個可以輕鬆管理它們的系統。根據您的要求,我的建議是Univention Corporate Server (UCS)
您應該可以輕鬆地使用身份管理服務器作爲身份提供者使用安全聲明標記語言(SAML)連接您的服務工具。 (已實現的功能,在其文檔中有詳細說明)
由於您不幸沒有告訴我們有關您的工具及其可能性的更多信息,因此我無法直接向您解釋如何執行此操作。
添加第二個因素身份驗證
完成這一操作,用戶將能夠使用自己的賬號和密碼。要爲他們的身份驗證添加第二個因素,您可以使用軟件privacyID3A。它專門爲您的需求而設計,並已在UCS中作爲App實施,這將使其更易於部署。
您的用戶可以使用FreeOTP Authenticator,Google Authenticator或其他Supported Tokens。
需要的連接(回答你的「下線」注)
你的機器需要將自己的身份管理服務器的連接。他們溝通的端口取決於您想授權用戶的服務。 (SSH/Sudo將需要PAM,SAML將需要HTTPS等)
如果您的計算機實際上處於脫機狀態且未與其他任何計算機連接,您將無法將認證從每臺計算機外包。
唯一必須通過互聯網部分訪問的機器將是您的身份管理服務器,並且只能在您的令牌可以訪問的特定端口上使用。做這件事最安全的方法是這些端口的簡單隧道。
許多IAM服務器應用程序將幫助您實現這一目標,但您的應用程序服務器和IAM服務器之間的連接將是必要的。如果分區在您的生態系統中很強大,您可以規劃多個前端並擁有一個共享數據庫後端。
請注意,帶有離線MFA功能的任何IAM解決方案也會爲方程帶來新的風險,因爲MFA挑戰通常會預先計算並存儲在本地緩存中。本地緩存可以被黑客入侵。
我最好的建議將是RCDevs(https://www.rcdevs.com/)爲IAM服務器,需要用戶身份驗證的服務器(在Linux或Windows),可以爲非常小的成本增加MFA能力的方式很少變化,因爲它支持開放格式OTP(如OATH)。
從那裏應用程序服務器和IAM服務器之間的所有通信都是基於Web服務的(HTTPS),它可以緩解防火牆端口打開和Web過濾安全控制。
RCDevs提供完整的軟/硬標記登記系統(包括工作流程)和創新的身份驗證方式(如QRCode)。
身份可以在LDAP專用或基於Acitve Directory進行管理。
要求用戶提供登錄,密碼和代碼沿不同的流程和你需要什麼。
如果需要,請多詢問一下,因爲它是一個廣泛的主題。
傑夫
我怎麼能看到它的唯一方法是,手機將與服務器(直接或間接)以某種方式進行通信。你可以設置本地網絡或藍牙?我不知道服務器如何知道技術人員通過手機進行身份驗證。 – quinz
也因爲服務器處於離線狀態,我可能會尋找除手機以外的其他方法。智能卡或任何類型的硬件令牌如何通過PIN碼/密碼保護? – quinz
請讓我澄清一下情況: 可能有一個包含Identitfy Management的服務器(在線)。還有那些必須進行維修的機器,這隻能通過登錄才能實現。因此登錄必須確定一個人是否有資格享有權利。 智能手機可能是2FA的可能性。 – redrahe