设置Windows Server 2008 NPS双重验证
- 格式:doc
- 大小:45.00 KB
- 文档页数:6
文档推荐
-
Windows2008 服务器集群(NLB)页数:13
-
windows2008NLB环境部署页数:8
下载文档原格式
合集下载
利用Win2008 NPS实现802.1X验证
利用Win2008 NPS实现802.1X验证【声明】1.本文档为免费文档,请勿用作商业用途。
2.虽然本人企图避免错误的发生,但由于水平及理解能力的影响,文档中还是可能存在错误。
如果发现文档中的错误,请发邮件通知我:@163.c3.先在此向发现问题并通知作者的同仁表示感谢,希望大家多交流。
4.欢迎大家将此文档相互传播,请勿对文档内容进行修改。
5.对于使用本文档中的内容,对您的系统,网络进行配置时可能引起的故障及错误,作者本人不负任何责任。
6.以上说明条款不具有强制性,目的是为了大家得到更好帮助,能够共享技术。
对于不遵守以上条款的人,我除了BS,别无他法。
————————————————————————————————利用Windows Server 2008的功能组件NPS(Ne Po AcSe)和支持802.1X协议的Ci2950交换机,客户端证书,可以很方便的实现NAC()。
因为以前一直是使用的Ci ACS s实现的NAC,自从MS 的2008发布以来,看到2008有NPS的功能,而且可以实现802.1X网络验证,所以就在网上搜索了很长时间,除了可以从微软的官方网站搜到一下文档外,国内关于NPS的介绍,最多的就是NPS如何和DHCP功能配合使用,却没有任何文档写到如何利用NPS和交换机实现802.1X网络验证,前一段时间,一直在研究这方面的东西,所以写篇文档,希望能给大家有所参考。
首先,如果不明白什么是NAC的话,那么请。
其次,对于Ci交换机的配置,如果不会配置,请Go。
还有,如果对于不熟悉的,还是上面的话。
1:所需要的软硬件环境客户端,在2和3中,对于802.1X协议的支持,有所不同,在SP2中,就一个服务:,升级到SP3之后,就多了一个服务,和原来的分别对应有线和无线网络。
在启动这2个服务后,在本地网络连接的属性里面就有:服务器端:1.Windows CA服务器,我是使用的windows server 2003,用于发放客户端的用户证书和服务器的计算机证书。
Windows2008R2-AD-FS配置指南
Windows Server 2008 R2 AD FS 配置指南Active Directory® 联合身份验证服务 (AD FS) 是可以在Windows Server® 2008 R2 操作系统中安装的服务器角色。
可使用 AD FS 服务器角色创建可高度扩展、可通过 Internet 升级和安全的身份访问解决方案,此解决方案可在多个平台上工作,包括Microsoft® Windows® 环境和非 Windows 环境。
关于本指南本指南提供了在 Hyper-V™ 测试实验室中针对运行 Windows Server 2008 R2 的计算机的设置 AD FS 的说明。
它介绍如何安装和测试单个声明感知应用程序。
有关设置 Hyper-V 服务器的详细信息,请参阅“用 Hyper-V 虚拟化”(/fwlink/?LinkId=126326)(可能为英文网页)。
可以使用本指南中的代码创建一个示例声明感知应用程序。
不需要使用任何其他下载内容。
本指南中的说明大概需要花费两个小时才能完成。
可以使用该测试实验室环境评估 AD FS 技术以及评估如何在组织中部署该技术。
当完成本指南的步骤后,您将能够:∙设置四台计算机(一个客户端计算机、一个启用了 AD FS 的 Web 服务器和两台联合身份验证服务器),以参与两个虚构公司(A. Datum Corporation 和 TreyResearch)之间的 AD FS 联合身份验证。
∙创建两个林,以用作联合用户的指定帐户存储。
每个林将代表一个虚构公司。
∙使用 AD FS 在两个公司之间建立联合信任关系。
∙使用 AD FS 创建、填充和映射声明。
∙为一个公司的用户提供访问位于另一个公司的声明感知应用程序的联合访问权限。
为尽可能成功地完成本指南中的目标,请务必执行以下所有操作:∙按顺序执行本指南中的步骤。
∙使用指定的精确 IP 地址。
电脑网络安全如何设置强密码和使用双重认证
电脑网络安全如何设置强密码和使用双重认证随着互联网的普及,电脑网络安全问题变得日益突出。
为了保护个人信息和重要数据的安全,设置强密码和使用双重认证是非常重要的措施。
本文将介绍如何正确设置强密码和使用双重认证来增强电脑网络安全。
一、设置强密码强密码是保护个人信息和数据安全的基础。
一个强密码应该具备以下特点:1. 长度合适:密码长度应该在8-16个字符之间,越长越好。
2. 复杂性:密码应该由数字、字母(包括大小写)、符号等组成,混合使用可以大大增加密码的安全性。
3. 避免常用密码:尽量避免使用123456、password等常见密码,这些密码容易被破解。
4. 定期更换密码:定期更换密码可以确保密码的安全,建议每3-6个月更换一次。
5. 不重复使用密码:避免在不同的网站和应用中使用相同的密码,以免一处密码泄露引发多处账户被盗风险。
二、使用双重认证除了设置强密码外,使用双重认证也是提高网络安全的重要方法。
双重认证结合了密码和其他因素,如手机短信验证码或指纹识别等,提供了额外的安全保障。
1. 手机短信验证码:在登录时,网站或应用会向绑定的手机发送短信验证码,用户需要输入正确的验证码才能完成登录。
这种方式确保了登录时需要同时拥有密码和手机的权限,增加了安全性。
2. 应用验证码:一些网站和应用提供了自己的验证器应用,用户在登录时需要输入动态生成的验证码才能完成操作。
这种方式不依赖于手机短信,防止了短信验证可能遭受的攻击。
3. 生物识别技术:越来越多的设备支持指纹识别或面部识别等生物识别技术,用户可以使用这些方法代替或与密码结合使用,提高了登录的安全性。
4. 应用程序密码:一些应用程序还提供了特定的应用密码,以增加对个人账户的访问权限。
这种密码与用户的主密码不同,只在某个应用或设备上使用。
总结:电脑网络安全是一个十分重要的问题,设置强密码和使用双重认证是保护个人信息和数据安全的基本措施。
强密码应该具备一定的长度、复杂性,避免常见密码,并定期更换。
window NPS对telnet_ssh认证
Win2008 NPS(radius)对交换机telne/ssh认证认证过程:登录交换机后要求输入用户名和密码,交换机根据配置将用户名和密码发送到NPS服务器,服务器验证用户名和密码,验证通过可管理交换机,不通过则拒绝访问配置主要分为两部分,window侧和交换机侧,以下将对Cisco、H3C两家厂商配置做详细介绍一Cisco交换机侧配置首先创建enable密码enable secret xxxxusername xxx secret xxx创建radius,启用aaaaaa new-modelaaa authentication login nps group radius localaaa authorization exec nps group radius localradius-server host 10.0.2.89 auth-port 1812 acct-port 1813 key xxxxradius source-interface Vlan70telnet认证line vty 0 15authorization exec npslogin authentication npsssh2 认证ip domain-name yundacrypto key generate rsa general-keys modulus 1024ip ssh version 2line vty 0 15exec-timeout 15 0transport input sshauthorization exec npslogin authentication npsline con 0authorization exec npslogin authentication nps其中nps是自定义的认证列表名必须上下一致Window配置用户名、密码和组创建本地创建用户名和密码,并将账号属性中的拨入方式勾选为NPS创建组,将用户添加到该组若是域账号NPS必须在AD中注册,步骤很简单,右击NPS选在在AD中注册即可1 安装NPS角色打开服务器管理器—角色--添加角色—勾选安装网络策略和访问服务,角色服务中勾选网络策略服务器,完成后如下图2 新建radius客户端右击radius客户端---新建,在友好名称中自定义交换机的名称,地址栏中输入交换机ip,共享密码方式选择手动,密码必须和交换机中指定的密码一致,否则认证无法通过。
NPS 身份验证方法
引用:/zh-cn/library/cc731694(WS.10).aspxNPS 身份验证方法应用到: Windows Server 2008身份验证方法用户尝试通过网络访问服务器(也称为RADIUS 客户端)(如无线访问点、802.1X 身份验证切换、拨号服务器和虚拟专用网络(VPN) 服务器)连接网络时,网络策略服务器(NPS) 会首先对连接请求进行身份验证和授权,然后再决定允许或者拒绝访问。
由于身份验证是验证尝试连接网络的用户或计算机的身份的过程,因此NPS 必须以凭据形式从用户或计算机接收身份证明。
某些身份验证方法使用基于密码的凭据。
例如,Microsoft 质询握手身份验证协议(MS-CHAP) 要求用户键入用户名和密码。
然后由网络访问服务器将这些凭据传递到NPS 服务器,NPS 会根据用户帐户数据库验证这些凭据。
其他身份验证方法使用基于证书的凭据用于用户、客户端计算机、NPS 服务器或者某些组合。
基于证书的身份验证方法提供了较强的安全性,因而优先于基于密码的身份验证方法推荐采用。
当您部署NPS 时,可以指定访问网络所需的身份验证方法的类型。
基于密码的身份验证方法应用到: Windows Server 2008基于密码的身份验证方法每种身份验证方法在安全性、可用性和支持的广度方面都各有优缺点。
但基于密码的身份验证方法不提供强大的安全性,因此不推荐使用。
对于所有支持使用证书的网络访问方法,建议使用基于证书的身份验证方法。
在无线连接的情况下尤其如此,此时建议使用PEAP-MS-CHAP v2 或PEAP-TLS。
所使用的身份验证方法由网络访问服务器、客户端计算机和运行网络策略服务器(NPS) 的服务器上的网络策略的配置来确定。
请查阅访问服务器文档以确定所支持的身份验证方法。
可以将NPS 配置为接受多种身份验证方法。
还可以配置网络访问服务器(也称为RADIUS 客户端)以尝试通过首先请求使用最安全的协议,然后使用下一个最安全协议,以此类推,直至安全性最低的协议,与客户端计算机协商建立连接。
设置WindowsServer2008NPS双重验证
设置WindowsServer2008NPS双重验证设置Windows Server 2008 NPS双重验证<转自ZDNETCHINA>文摘要本文我们将探讨如何通过Windows Server 2008 NPS(网络策略服务器)为不同的远程访问解决方案添加双重身份验证以帮助企业增强访问网络的身份验证。
本文我们将探讨如何通过Windows Server 2008 NPS(网络策略服务器)为不同的远程访问解决方案添加双重身份验证以帮助企业增强访问网络的身份验证。
不管是由于监管要求,还是因为静态密码不能提供足够安全性的事实,越来越多的企业开始部署高强度的身份验证以确保企业安全性。
在本文中我们将探讨如何通过Windows Server 2008 NPS(网络策略服务器)为不同的远程访问解决方案添加双因素身份验证以帮助企业增强访问网络的身份验证。
对于双因素身份验证,我们将使用WiKID强认证服务器,WiKID是一款基于商业/开源软件的双因素身份验证解决方案,WiKID 旨在成为令牌、证书、密码的安全替代品。
假设你的环境中既有Windows系统又有Linux/Unix,然后你需要部署双因素身份验证来满足PCI要求,你想要保护所有关键系统(大多数是Linux系统)并且你打算使用双因素身份验证(这里我们只讨论SSH)锁定远程桌面。
这就需要创建一个双因素验证锁定的SSH网关服务器,然后管理就可以使用公钥验证从网关访问其他服务器。
SSH为远程管理服务器提供了一个高度安全的渠道,然而,在面对审计时,大家需要注意几个与验证相关的潜在问题:* 不能控制哪些用户拥有公钥授权* 不能执行(或者确定是否在使用)密码复杂性* 不能设置公钥失效另外,还需要为其他服务添加双因素身份验证,包括RDP和VPN 等。
为所有服务和不能用于其他服务的SSH密钥设置单个双因素认证服务是非常有效的。
概述完成所有设置后,系统将这样运行:用户从他们的WiKID软件令牌生成一个一次性密码,并将其输入到SSH密码框,密码将通过radius获得SSH网关到NPS的验证。
SQL Server 2008 Windows身份验证改为混合模式身份验证
SQL Server 2008 Windows身份验证改为混合模式身份验证
由于需要,要把SQL2008单一的Windows身份验证改为混合模式身份验证。
在此做一备忘。
步骤:
1、用Windows身份验证方式进入SQL2008,在【对象资源管理器】右键击【根目录】:
选择右键菜单中的【属性】:
选择【安全性】,然后勾选【Sql Server和Windows身份验证模式】,然后点击【确定】。
到这里就可以断开连接退出并使用SQL Server身份验证模式登录了。
由于默认不启用sa,所以如果启用sa账户登录,则还需要如下设置:
2、回到【对象资源管理器】,展开【安全性】,展开【登录名】就会看到登录名sa,右键sa,选择【属性】:
弹出:
选择【状态】,右边的登陆选【启用】,确定。
这样就可以用sa登录,密码默认为空
3、若要修sa密码,可做如下操作:
选择sa【属性】:
选择【常规】,在密码处录入新的密码则可。
4、万一还登录不了,可做如下尝试:
打开【SQL Server配置管理器】然后展开【SQL Server网络配置】然后点击【MSSQLSERVER 的协议】,在右边启用【TCP/IP协议】:
然后在【SQL Server服务】:
里重启MSSQLSERVER服务即可。
SQL Server 2008 Windows身份验证改为混合模式身份验证
SQL Server 2008 Windows身份验证改为混合模式身份验证
由于需要,要把SQL2008单一的Windows身份验证改为混合模式身份验证。
在此做一备忘。
步骤:
1、用Windows身份验证方式进入SQL2008,在【对象资源管理器】右键击【根目录】:
选择右键菜单中的【属性】:
选择【安全性】,然后勾选【Sql Server和Windows身份验证模式】,然后点击【确定】。
到这里就可以断开连接退出并使用SQL Server身份验证模式登录了。
由于默认不启用sa,所以如果启用sa账户登录,则还需要如下设置:
2、回到【对象资源管理器】,展开【安全性】,展开【登录名】就会看到登录名sa,右键sa,选择【属性】:
弹出:
选择【状态】,右边的登陆选【启用】,确定。
这样就可以用sa登录,密码默认为空
3、若要修sa密码,可做如下操作:
选择sa【属性】:
选择【常规】,在密码处录入新的密码则可。
4、万一还登录不了,可做如下尝试:
打开【SQL Server配置管理器】然后展开【SQL Server网络配置】然后点击【MSSQLSERVER 的协议】,在右边启用【TCP/IP协议】:
然后在【SQL Server服务】:
里重启MSSQLSERVER服务即可。
windows2008+CA教程
Windows Server 2008 CA认证实验Windows Server 2008支持两种证书服务器,分别是应用于企业内部的企业证书服务器和用于企业或Internet的独立证书服务器。
其中,企业证书服务器应用于域环境,需要AD的支持,用户可以直接向证书服务器申请并安装证书;而独立根证书服务器应用于非域环境。
Win2008只有企业版和数据中心版支持web注册功能,标准版和web版不支持。
本实验用3台win2008做一个独立根CA实验。
如果电脑配置差,Client可以用xp代替。
实验拓扑:准备工作:这里域名为,IP地址如上图所示。
此实验在VM7中进行,三台电脑网卡全部桥接;当然也可以全部建在一个分组内做实验。
实验心得:我做实验的电脑内存是3G,系统自动给win2008分配的内存是1G,物理机我用的是XP,导致很卡,所以要手动给虚拟机分配内存900M,这样3台win2008消耗2.7G内存,留下300多M给XP。
下面对客户机IE浏览器做设置:打开Internet选项,调整安全级别:➢将对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本(不安全);必须启用➢允许运行以前未使用的ActiveX控件而不提示;必须启用➢下载未签名的ActiveX控件(不安全);启用➢下载已签名的ActiveX控件(不安全);启用➢使用仿冒网站筛选;禁用➢没有证书或只有一个证书时不提示进行客户端证书选择;如果不想有证书选择提示窗口,可以把它启用。
实验心得:平时做实验,我们可以把安全性降到最低,以免干扰实验。
前2个必须启用,否则在申请证书时会跳出对如下对话框:下面安装第一台CA服务器:首先打开“服务器管理器”→添加角色,选中“Acitve Directory证书服务”。
如下图所示单击“下一步”,选中“证书颁发机构”和“证书颁发机构web注册”。
后者主要是通过web界面来进行证书的相关操作。
如下图所示。
单击“下一步”,如下图所示,由于不在AD中,我们选“独立”。
如何设置电脑的双重认证
如何设置电脑的双重认证随着网络安全问题的不断增多,越来越多的人开始关注个人电脑的安全性,其中双重认证成为了一种常见的加密措施。
在本文中,将介绍如何设置电脑的双重认证,以提高个人电脑的安全性。
1.了解双重认证的原理双重认证是一种身份验证方法,通过结合两个或多个不同的因素验证用户的身份,从而增加系统的安全性。
常见的双重认证因素包括密码、手机验证码、指纹识别等。
其中,密码属于用户知识因素,而手机验证码或指纹识别则属于用户拥有的因素。
2.选择适合的双重认证方式根据个人需求和电脑系统的支持情况,可以选择以下几种双重认证方式:2.1 密码加手机验证码这是双重认证的最基本方式,使用时需要先设置一个强密码作为第一层认证,然后在登录时,系统会发送一个手机验证码到用户绑定的手机上,用户需要输入正确的验证码才能完成登录。
2.2 使用物理安全设备一些高级用户可能希望使用更高级的认证方式,如使用物理安全设备。
这些设备可以是USB密钥,智能卡或硬件令牌等。
用户需要在设置中将这些设备与自己的账户关联,并通过这些设备进行认证。
2.3 生物识别认证随着技术的发展,越来越多的设备已经支持生物识别功能,如指纹识别、面部识别和虹膜识别等。
用户可以将这些生物识别作为第二层认证来提高电脑的安全性。
3.设置双重认证无论选择了哪种双重认证方式,下面是设置双重认证的一般步骤:3.1 找到系统设置根据操作系统的不同,打开“设置”或“控制面板”等系统设置页面。
3.2 导航到账户设置在系统设置中,找到并点击“账户设置”或类似的选项,以进入账户设置页面。
3.3 打开双重认证选项在账户设置页面中,寻找“双重认证”或“安全设置”等选项,并点击进入。
3.4 选择双重认证方式根据个人需求,选择适合自己的双重认证方式,并按照系统指引进行设置。
3.5 设置第一层认证根据系统要求,设置第一层认证,这通常是一个强密码。
确保密码足够复杂且不易猜测,以提高账户的安全性。
3.6 设置第二层认证根据所选择的双重认证方式,设置第二层认证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
设置Windows Server 2008 NPS双重验证<转自ZDNETCHINA>文摘要本文我们将探讨如何通过Windows Server 2008 NPS(网络策略服务器)为不同的远程访问解决方案添加双重身份验证以帮助企业增强访问网络的身份验证。
本文我们将探讨如何通过Windows Server 2008 NPS(网络策略服务器)为不同的远程访问解决方案添加双重身份验证以帮助企业增强访问网络的身份验证。
不管是由于监管要求,还是因为静态密码不能提供足够安全性的事实,越来越多的企业开始部署高强度的身份验证以确保企业安全性。
在本文中我们将探讨如何通过Windows Server 2008 NPS(网络策略服务器)为不同的远程访问解决方案添加双因素身份验证以帮助企业增强访问网络的身份验证。
对于双因素身份验证,我们将使用WiKID强认证服务器,WiKID是一款基于商业/开源软件的双因素身份验证解决方案,WiKID 旨在成为令牌、证书、密码的安全替代品。
假设你的环境中既有Windows系统又有Linux/Unix,然后你需要部署双因素身份验证来满足PCI要求,你想要保护所有关键系统(大多数是Linux系统)并且你打算使用双因素身份验证(这里我们只讨论SSH)锁定远程桌面。
这就需要创建一个双因素验证锁定的SSH网关服务器,然后管理就可以使用公钥验证从网关访问其他服务器。
SSH为远程管理服务器提供了一个高度安全的渠道,然而,在面对审计时,大家需要注意几个与验证相关的潜在问题:* 不能控制哪些用户拥有公钥授权* 不能执行(或者确定是否在使用)密码复杂性* 不能设置公钥失效另外,还需要为其他服务添加双因素身份验证,包括RDP和VPN等。
为所有服务和不能用于其他服务的SSH密钥设置单个双因素认证服务是非常有效的。
概述完成所有设置后,系统将这样运行:用户从他们的WiKID软件令牌生成一个一次性密码,并将其输入到SSH密码框,密码将通过radius获得SSH网关到NPS的验证。
然后NPS将验证用户在Active Directory及相关组群中是否有效,如果有效,NPS会通过radius将用户名和一次性密码发送给WiKID强认证服务器。
如果OTP是有效的,WiKID 服务器会响应NPS,然后NPS响应SSH网关,用户将被授予访问权限。
请注意,这个过程只是验证过程,会话管理仍然由SSH网关或者其他你在使用的远程访问服务来处理。
首先我们需要启用Windows Server 2008网络策略服务器(NPS)添加“网络策略和访问服务”角色到域控制器在安装过程中,启用以下角色服务器:*网络策略服务器* Routing & Remote Access Services路由和远程访问服务* Remote Access Service远程访问服务* Routing路由然后我们需要添加一个新的RADIUS客户端,本文中即SSH网关在管理工具(Administrative Tools)中选择网络策略服务器右键点击Radius Clients并选择新建添加远程访问服务器(RAS、VPN等)的名称和IP地址,并创建一个共享密码,你将需要在WiKID服务器中输入相同的共享密码,点击确认。
添加新的Radius服务器,即WiKID强认证服务器右键单击Remote RADIUS服务器并命名这个组,如“WiKID”点击添加按钮来向该组添加一个新的radius服务器在第一个选项中输入WiKID服务器的IP地址,在第二个选项中,输入共享密码。
创建网络策略现在我们已经创建了radius客户端和radius服务器(WiKID),下面我们需要创建一个新的网络策略来告诉IAS哪些用户可以代理到WiKID。
输入名称,将网络访问服务器类型保持为“未指定(Unspecified)”或者选择远程访问系统点击Conditions选项,我为所有来自我的服务器IP地址的请求添加了一个条件。
点击Settings Page,点击Authentication并选择“Forward requests to the following remote RADIUS server group for authentication(将请求转发到以下远程RADIUS服务器组进行验证)”,选择WiKID。
配置WiKID强认证服务器现在我们已经配置了NPS来代理身份验证,我们需要配置WiKID来接受它们,这里我们只需要为NPS添加一个radius网络客户端:登录到WiKIDAdmin网络界面,点击网络客户选项,点击“创建新网络客户端”,给网络客户端命名,指定IP地址,根据协议选择Radius并选择使用哪个WiKID域(WiKID域涵盖用户并且指定某种安全参数,如PIN长度、一次性密码的使用时间等)。
在接下来的页面中,输入共享密码,也就是上文在NPS中的密码。
确保输入相同的密码!!WiKID支持在网络客户端水平和每个用户组水平添加radius返回属性,不过这超出了本文的范围。
此时会有消息提示说已经成功添加网络客户端,你需要从命令行重启WiKID服务器,这会使网络客户端会加载到radius界面,并打开内置WiKID防火墙的radius端口。
# wikidctl restart配置SSH网关服务器配置SSH网关现在我们将需要配置中央SSH网关,linux系统是导向所有生产服务器的网关/代理,它必须被严格锁定,并且不能有多余的软件或者服务器在上面运行。
此外,linux系统还需要有一个处理入站连接的外部接口以及处理内部连接的内部接口。
首先我们需要配置网关使用WiKID对SSH用户进行高强度验证。
从安装PAM Radius开始,PAM Radius主页地址为/pam_radius_auth/下载最新版本的tar文件运行:$ make将产生的共享库复制到/lib/security。
$ sudo cp pam_radius_auth.so /lib/security/编辑/etc/pam.d/sshd来允许进行Radius身份验证$ sudo vi /etc/pam.d/sshd注意:不同版本的linux有不同的pam.d文件格式。
请检查linux的具体版本,以下说明适用于Fedora/ Redhat/Centos转到该文件的第一行,点击Insert键或者i键,插入到这一行。
auth sufficient /lib/security/pam_radius_auth.soSufficient标签意味着,如果Radius身份验证成功的话,就不再需要额外的身份验证。
然而,如果Radius验证失败的话,将需要来自该系统的用户名和密码来验证。
使用“Required”来请求强认证。
写入文件并推出,点击Esc键来推出插入模式,并输入':wq'编辑或创建/etc/raddb/server文件。
vi /etc/raddb/server下面这行:127.0.0.1 secret 1添加这一行,替代routableIPAddress:routableIPaddress shared_secret 1routeableIPaddress是NPS服务器的IP地址编辑/etc/pam.d/sshd文件:#%PAM-1.0auth sufficient /lib/security/pam_radius_auth.soauth include system-authaccount required pam_nologin.soaccount include system-authpassword include system-authsession include system-authsession required pam_loginuid.so添加WiKID服务器到/etc/raddb/server文件,使用WiKID服务器的外部IP地址以及在网络客户端创建页面输入的共享密码:# server[:port] shared_secret timeout (s)127.0.0.1 secret 1xxx.xxx.xxx.xx wikidserver_secret 3这里也需要向SSH配置增加一些安全性,打开/etc/ssh/sshd_config(不是附近的ssh_config文件),添加这些配置选项:#Protocol 2,1#检查只有协议2被允许:Protocol 2#禁用root登录:PermitRootLogin no#禁用没有密码的帐号:PermitEmptyPasswords no现在网关已经设置为使用WiKID一次性密码来进行SSH验证,所有用户必须注册到WiKID服务器,没有人可以作为root登录。
下面我们将做点小变动,让用户可以在网关创建自己的RSA密钥,只要用户在WiKID注册后,就能创建自己的密钥:class="command">ssh-keygen -t rsa其实,这些密钥的密码短语是多余的,我们必须确保用户不能访问其他密钥。
配置目标服务器显然,我们需要将这些服务器配置为仅接受来自网关的SSH请求,这可以通过限制端口22对内部地址的访问来实现,编辑/etc/sysconfig/iptables或者端口22的SSH这行:-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT允许WiKID软件令牌启动WiKID令牌,选择与SSH网关相关的域名,然后输入密码,就能获得一次性密码,这个密码是有时间限制的,可以在WiKID服务器任意设置密码的有效时间。
当SSH框弹出时用户只需输入一次性密码令牌同样也可以从命令行运行,这对于SSH很便捷:java -cp jWiKID-3.1.3.jar:jwcl.jar com.wikidsystems.jw.JWcl domainiddomainid是12位域标识符结论很多企业都面临着合规和监管的问题,网络环境也变得越来越复杂和危险,同时,用户也需要更多的远程访问,这些都给企业的安全部门带来不小挑战。
本文主要探讨的是向SSH添加双因素验证,我们选择Radius作为网络验证标准,这是个不错的选择。
大部分VPN、远程桌面系统、网络服务器和其他远程访问服务都支持Radius,当大家在考虑添加双因素验证时,只需要考虑系统是否支持Radius即可,然后可以将Radius指向NPS服务器,就可以实现双因素验证。