我的公司计划在我们的机器中引入对服务工具具有更高安全性要求的用户登录(用于维护)。到目前为止,我们曾经使用一个简单的PW登录,这个PW逐渐被大家所熟知。
新的身份验证方法应该需要2FA。每个服务技术人员都配备了智能手机,所以我想到了以下身份验证过程:
服务技术人员的电话号码将在服务器上注册(独立于机器),他们只能通过此电话请求代码,也可以与机器的序列号一起使用。代码将在请求者的智能手机上自动发送。使用此代码,服务技术人员可以在计算机上登录,并且可以访问服务工具。
我的问题是:我听到很多关于身份管理和框架以及公钥/私钥的方法。 关键是我们的机器脱机运行。因此,第一个要求是我们能够管理服务器上的服务技术人员(添加/删除服务技术人员的权限)(名称,ID等),以便他们可以请求代码(2FA),第二个是他们可以即使机器处于脱机状态,也要在机器上登录。
如何管理机器上的登录与服务器端的身份管理分离?是否有更简单的方法在具有更高安全性的离线机器上进行登录?
答案 0 :(得分:0)
基于用户的身份验证
首先,您需要将系统与中央身份管理服务器(基于LDAP)连接。有了这个,每个用户都将拥有自己的帐户,您将拥有一个可以轻松管理它们的系统。我根据您的要求推荐的是Univention Corporate Server (UCS)
您应该可以使用安全声明标记语言(SAML)以及身份管理服务器作为身份提供程序,轻松地将服务工具与其连接。 (已实施的功能,在其文档中有详细说明)
由于您遗憾地没有告诉我们有关您的工具及其可能性的更多信息,我无法直接解释您如何执行此操作。
在身份验证中添加第二个因素
完成此操作后,您的用户将能够使用自己的帐户和密码。要为其身份验证添加第二个因素,您可以使用软件privacyID3A。它是根据您的需求而设计的,并且已在UCS中实现为App,这样可以使其更易于部署。
您的用户可以使用FreeOTP Authenticator,Google Authenticator或其他Supported Tokens。
需要的连接(回答你的离线'注释)
您的计算机需要连接到您的身份管理服务器。他们通信的端口由您要为用户授权的服务决定。 (SSH / Sudo需要PAM,SAML需要HTTPS,等等)
如果他们实际上处于脱机状态且与其他任何设备无法连接,您将无法从每台计算机上外包认证。
唯一可以从互联网部分访问的计算机将是您的身份管理服务器,这仅限于您的令牌可以访问的某些端口。最安全的方法是为这些端口建立一个简单的隧道。