semaev Feb 9 2016 at 13:37

Привязка дополнительных одноразовых паролей к окну входа Windows

5 min

55K

Information Security*Cryptography*

+13

Comments 21

gotch Feb 9 2016 at 13:57

Занимательная штука. Устойчивость конструкции вызывает опасения.

semaev Feb 9 2016 at 14:31

У меня тоже, но уже месяц работает на ура. Пару раз приходилось в реестр лезть.

Fanta Feb 9 2016 at 15:09

4) Если вам интересно как прикрутить это красоту к домену — скажите, я попробую и отпишусь.

ждемс ;)

semaev Feb 10 2016 at 00:03

Скоро сделаю, ок)

Klukonin Feb 9 2016 at 17:01

Да, очень ждем статьи о том как это все прикрутить к самбе =)

semaev Feb 10 2016 at 00:00

Ок, принято. Думаю быстрее выйдет у меня на канале видео соответсвующее.

semaev Feb 10 2016 at 00:03

Уточните задачу — вы как бы хотели увидеть результат работы с самбой?

Klukonin Feb 10 2016 at 08:25

Канал ваш уже смотрю.
И да, по самбе есть хорошие видео =)

Уточнение: в качестве ВАУ-фактора хотелось бы увидеть логи где видно что аутентификация проходит именно через OTP.
QR, PSK, или SMS — Это не принципиально. То есть, предположим, окно виртуалки с виндой, а рядом окно с логом самбы.
Ну и послушать/посмотреть немного о подводных камнях с которыми пришлось столкнуться.
Это всегда самая интересная часть.

ErshoFF Feb 9 2016 at 18:45

Нюансы:
2) Обязательно настройте точное время на серваке, иначе ваши ключи не будут работать.

Уточню:

время должно быть _одинаково_ на сервере и на устройстве с аутентификатором, не обязательно «атомное»(допускается небольшое отклонение). Зачастую устройство синхронизируется вручную — такой точности не всегда хватает.

Google Authenticator — доступен в исходных кодах — github.com/google/google-authenticator.

Очень хотелось бы увидеть это же в применении к MS AD.

semaev Feb 10 2016 at 00:02

Согласен, некорректно сформулировал, имел в виду что проще всего иметь точное время на всех устройствах. правлю.
По AD задачу принял)

ruslanys Feb 9 2016 at 23:50

Спасибо за статью!

Поправьте заголовок.

Привязка дополниельных одноразовых паролей к окну входа Windows

semaev Feb 10 2016 at 00:02

Спасибо, поправил!

reff Feb 10 2016 at 11:27

Поправьте ещё раз: "… дополниТельных одноразовых паролей..."

nmk2002 Feb 10 2016 at 15:20

Спасибо за интересный пост. Я в свое время тоже тестировал аналогичное решение с одноразовыми паролями для Windows. Использовал сервер аутентификации, поддерживающий протокол RADIUS, а на клиенте устанавливал PGina.

semaev Feb 11 2016 at 00:14

А что за сервер аутентификации был? Я все бьюсь как это к домену подключить

nmk2002 Feb 11 2016 at 09:35

Сервер аутентификации может быть любой, который поддерживает протокол RADIUS. Я использовал neXus Hybrid Access Gateway. Этот сервер избыточен для такой узкой задачи. Вы можете попробовать что-то полегче, например, linotp + freeRADIUS.

gluko Feb 10 2016 at 16:35

А есть ли подобное средство, но что бы одноразовые пароли запрашивались не только во время входа в систему, а во время любых запросов на повышение привелегий? Т.е. нужно что бы OTP пароли зарашивались уже внутри сеанса пользователя, если ему требуется повысить права, скажем, для установки приложения.

semaev Feb 11 2016 at 00:15

Тут все реализовано засчет этого плагина для дефолтного провайдера, я им напишу сейчас спрошу по вашей задаче, она действительно хороша.

videns Feb 10 2016 at 18:11

Еще можно использовать решение от Duo Security. В случае использования менее 10 учеток они работают бесплатно.

semaev Feb 11 2016 at 00:18

А вы этой штукой пользовались от Duo Security? Не пойму как они ее к AD привязали, заменяют пароль пользователя на пины эти?

videns Feb 11 2016 at 10:06

Да, пользуюсь активно. DUO дает именно второй фактор. То есть пользователь логинится по своим реквизитам и после этого требуется подтвердить второй фактор. Также у них есть duo auth proxy, которая может быть radius или ldap прокси-сервером. Соответственно можно прикрутить второй фактор даже там, где это не поддерживается на нативном уровне. Можете написать в личку, расскажу подробнее.