Pull to refresh

Comments 21

Занимательная штука. Устойчивость конструкции вызывает опасения.
У меня тоже, но уже месяц работает на ура. Пару раз приходилось в реестр лезть.
4) Если вам интересно как прикрутить это красоту к домену — скажите, я попробую и отпишусь.

ждемс ;)
Да, очень ждем статьи о том как это все прикрутить к самбе =)
Ок, принято. Думаю быстрее выйдет у меня на канале видео соответсвующее.
Уточните задачу — вы как бы хотели увидеть результат работы с самбой?
Канал ваш уже смотрю.
И да, по самбе есть хорошие видео =)

Уточнение: в качестве ВАУ-фактора хотелось бы увидеть логи где видно что аутентификация проходит именно через OTP.
QR, PSK, или SMS — Это не принципиально. То есть, предположим, окно виртуалки с виндой, а рядом окно с логом самбы.
Ну и послушать/посмотреть немного о подводных камнях с которыми пришлось столкнуться.
Это всегда самая интересная часть.
Нюансы:
2) Обязательно настройте точное время на серваке, иначе ваши ключи не будут работать.

Уточню:
  • время должно быть _одинаково_ на сервере и на устройстве с аутентификатором, не обязательно «атомное»(допускается небольшое отклонение). Зачастую устройство синхронизируется вручную — такой точности не всегда хватает.

Google Authenticator — доступен в исходных кодах — github.com/google/google-authenticator.

Очень хотелось бы увидеть это же в применении к MS AD.
Согласен, некорректно сформулировал, имел в виду что проще всего иметь точное время на всех устройствах. правлю.
По AD задачу принял)
Спасибо за статью!

Поправьте заголовок.
Привязка дополниельных одноразовых паролей к окну входа Windows
Поправьте ещё раз: "… дополниТельных одноразовых паролей..."
Спасибо за интересный пост. Я в свое время тоже тестировал аналогичное решение с одноразовыми паролями для Windows. Использовал сервер аутентификации, поддерживающий протокол RADIUS, а на клиенте устанавливал PGina.
А что за сервер аутентификации был? Я все бьюсь как это к домену подключить
Сервер аутентификации может быть любой, который поддерживает протокол RADIUS. Я использовал neXus Hybrid Access Gateway. Этот сервер избыточен для такой узкой задачи. Вы можете попробовать что-то полегче, например, linotp + freeRADIUS.
А есть ли подобное средство, но что бы одноразовые пароли запрашивались не только во время входа в систему, а во время любых запросов на повышение привелегий? Т.е. нужно что бы OTP пароли зарашивались уже внутри сеанса пользователя, если ему требуется повысить права, скажем, для установки приложения.
Тут все реализовано засчет этого плагина для дефолтного провайдера, я им напишу сейчас спрошу по вашей задаче, она действительно хороша.
Еще можно использовать решение от Duo Security. В случае использования менее 10 учеток они работают бесплатно.
А вы этой штукой пользовались от Duo Security? Не пойму как они ее к AD привязали, заменяют пароль пользователя на пины эти?
Да, пользуюсь активно. DUO дает именно второй фактор. То есть пользователь логинится по своим реквизитам и после этого требуется подтвердить второй фактор. Также у них есть duo auth proxy, которая может быть radius или ldap прокси-сервером. Соответственно можно прикрутить второй фактор даже там, где это не поддерживается на нативном уровне. Можете написать в личку, расскажу подробнее.
Sign up to leave a comment.

Articles