Комментарии 21
Занимательная штука. Устойчивость конструкции вызывает опасения.
4) Если вам интересно как прикрутить это красоту к домену — скажите, я попробую и отпишусь.
ждемс ;)
Да, очень ждем статьи о том как это все прикрутить к самбе =)
Ок, принято. Думаю быстрее выйдет у меня на канале видео соответсвующее.
Уточните задачу — вы как бы хотели увидеть результат работы с самбой?
Канал ваш уже смотрю.
И да, по самбе есть хорошие видео =)
Уточнение: в качестве ВАУ-фактора хотелось бы увидеть логи где видно что аутентификация проходит именно через OTP.
QR, PSK, или SMS — Это не принципиально. То есть, предположим, окно виртуалки с виндой, а рядом окно с логом самбы.
Ну и послушать/посмотреть немного о подводных камнях с которыми пришлось столкнуться.
Это всегда самая интересная часть.
И да, по самбе есть хорошие видео =)
Уточнение: в качестве ВАУ-фактора хотелось бы увидеть логи где видно что аутентификация проходит именно через OTP.
QR, PSK, или SMS — Это не принципиально. То есть, предположим, окно виртуалки с виндой, а рядом окно с логом самбы.
Ну и послушать/посмотреть немного о подводных камнях с которыми пришлось столкнуться.
Это всегда самая интересная часть.
Нюансы:
2) Обязательно настройте точное время на серваке, иначе ваши ключи не будут работать.
Уточню:
- время должно быть _одинаково_ на сервере и на устройстве с аутентификатором, не обязательно «атомное»(допускается небольшое отклонение). Зачастую устройство синхронизируется вручную — такой точности не всегда хватает.
Google Authenticator — доступен в исходных кодах — github.com/google/google-authenticator.
Очень хотелось бы увидеть это же в применении к MS AD.
Спасибо за статью!
Поправьте заголовок.
Поправьте заголовок.
Привязка дополниельных одноразовых паролей к окну входа Windows
Спасибо за интересный пост. Я в свое время тоже тестировал аналогичное решение с одноразовыми паролями для Windows. Использовал сервер аутентификации, поддерживающий протокол RADIUS, а на клиенте устанавливал PGina.
А что за сервер аутентификации был? Я все бьюсь как это к домену подключить
Сервер аутентификации может быть любой, который поддерживает протокол RADIUS. Я использовал neXus Hybrid Access Gateway. Этот сервер избыточен для такой узкой задачи. Вы можете попробовать что-то полегче, например, linotp + freeRADIUS.
А есть ли подобное средство, но что бы одноразовые пароли запрашивались не только во время входа в систему, а во время любых запросов на повышение привелегий? Т.е. нужно что бы OTP пароли зарашивались уже внутри сеанса пользователя, если ему требуется повысить права, скажем, для установки приложения.
Еще можно использовать решение от Duo Security. В случае использования менее 10 учеток они работают бесплатно.
А вы этой штукой пользовались от Duo Security? Не пойму как они ее к AD привязали, заменяют пароль пользователя на пины эти?
Да, пользуюсь активно. DUO дает именно второй фактор. То есть пользователь логинится по своим реквизитам и после этого требуется подтвердить второй фактор. Также у них есть duo auth proxy, которая может быть radius или ldap прокси-сервером. Соответственно можно прикрутить второй фактор даже там, где это не поддерживается на нативном уровне. Можете написать в личку, расскажу подробнее.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Привязка дополнительных одноразовых паролей к окну входа Windows