Comments 17
двухфакторной аутентификации… хочется
Логика работы предполагается такая: при подключении к VPN пользователь должен ввести доменный логин и OTP вместо пароля.
А что выступает вторым фактором?
Доменный пароль пользователя
Пока вижу только упрощение доменного пароля до 6 цифр, которые постоянно меняются, т.е. это не совсем упрощение пароля, но тем не менее…
Почему не раздать всем сертификаты без всяких логинов/паролей и раз в 1-3-6-месяцев их менять?..
Смарт карты с ключами конечно лучше, это не отрицается, но предложенный подход с OTP на VPN и доменным паролем далее весьма интересен. Гораздо лучше доменного пароля на VPN и несколько удобнее доменного пароля + OTP на VPN, именно потому что доменный в таком случае может требовать двойного ввода и неизбежно вызывает тягу его сохранить или упростить...
В ВПН клиенте запрещено сохранение пароля. В данном варианте вместо доменного пароля используется токен ОТП.
Ну или можно вернуть стандартную конкатенацию доменный пароль+OTP, которую вы убрали, не просто так к этому решению в настройках по умолчанию пришли.
Согласен, я не совсем корректно указал, что это решение — двухфакторная реализация. Над полноценной двухфакторной я ещё работаю. Тут больше была мысль убрать ввод пароля пользователем и заменить его на более простую вариацию.
это пароль, только передаётся не в открытом виде
эдакий CHAP с ручным приводом
Позволю себе не согласиться с Вами. Любой токен, будь то программный или аппаратный, — это все же "something that you have". Аппаратные и программные FortiTokens точно так же генерируют 30-секундный пароль.
1. Если на Centos юзер ни разу не заходил, то выдается ошибка об отсутствии Home directory.
3. Непонятно как работает сам Google Authentificator. Мне непонятно сработал он правильно или нет, но после ввода ОТР получаю Permission Denied. Может быть с группами что-то не то просто.
я правильно понимаю что в данной реализании нельзя сделать 2 разных группы доступа так, чтобы они могли отрабатываться и одновременно(мог зайти юзер с группой для RDP и другой группой для SSH)?
Freeradius + Google Autheticator + LDAP + Fortigate