< 返回 首页 > 关于宁盾 > 新闻中心 > 公司动态 > Step-By-Step,轻松玩转华为云桌面双因素配置

Step-By-Step,轻松玩转华为云桌面双因素配置

发布时间:2018-05-07 11:09:54 来源: 点击量:

受移动化影响,允许员工随时随地办公。企业通过部署华为云桌面为员工建立外网访问通道,外出员工只需输入用户名密码即可完成认证,随着账号安全泄漏事件频发,我们不得不怀疑这种登录方式真的安全吗?企业账号安全面临的挑战:
账号身份安全:
1.         员工账号密码简易;
2.         互相知晓账号密码,员工密码缺少私密性;
3.         员工账号密码“终身”使用;
4.         市场上存在大量密码破解程序及字典轮询工具,给账号密码破解带来隐患。
运维管理安全:
1.         企业运维人员在增强密码强度上(字母、数字、8~16位)耗时耗力;
2.         定期需要通过定期修改密码进行维护;
3.         员工忘记密码带来的重复性操作。
 
宁盾双因素认证平台持有商密、国密证书,是面向政府、金融、互联网、能源等中大型企业、事业单位的强身份认证平台。通过与华为云桌面管理平台对接,用户登录认证时,在原有账号密码的基础之上增加动态密码,形成账号密码双因素认证保护。支持手机APP令牌、微信令牌、短信令牌、硬件令牌等多种动态密码生成器,增强员工账号隐私性,节省运维人员管理成本。目前宁盾双因素已成为国内600家中大型企业的一致选择。

解决方案
首先将宁盾认证服务器(ND ACE)部署在核心网络环境中,并与AD/LADP帐号源进行对接,建立用户账号与宁盾令牌之间的绑定关系,支持关闭源密码(如图,只需输入用户名动态密码即可)。
1、  用户认证时,输入账号名及动态密码;
2、  配置后的华为云桌面将认证指向Radius服务器(宁盾DKEY AM服务器),并将用户名动态密码通过radius协议发送给DKEY AM;
3、  DKEY AM接收请求,将账号发送至AD服务器进行校验,并根据校验结果与账号令牌种子进行校验, 校验成功,即为通过。


动态密码形式多样:
1.         时间令牌账号加固:宁盾手机APP令牌、硬件令牌通过将令牌种子与UTC时间基于SM3算法生成的一次性时间令牌,该令牌每隔固定时间变化一次,任何一个动态口令能且仅能认证一次,。
2.         短信令牌账号加固:宁盾短信令牌是通过将员工手机号与企业身份绑定,在完成账号口令认证后,输入短信验证码才可进入。有效提高用户的账号安全。
3.         微信令牌账号加固:宁盾微信令牌通过与企业微信对接,在用户认证时,通过企业微信的方式将动态口令发送至用户手中,这种方式无需额外令牌,实现企业微信的统一管理。

手机令牌 微信令牌 短信令牌

配置详情:
一、华为云桌面配置项:
将华为云桌面的认证指向Radius服务器(宁盾DKEY AM服务器)



操作步骤
  开启动态令双因素认证功能
Step1、在PusionAccess中,选择“系统管理》初始配置》桌面组件”。
进入“桌面组件”页面。
Step2、在“WI配置”区域的对应WI组件配置信息的“操作”栏,单击。
  显示WI组件配置信息。
Step3、在“WI集群配置”区域,配置以下参数。
·          认证方式。帐号和密码。
·          双因素身份验证: 选择“RADIUS”。
·          名称RADIUS服务器的名称。
·          IP地址RADIUS服务器的IP地址。
·          端口: RADIUS服务器的端口号。
·          NAS标识符: RADIUS服务器的NAS标识符。
·          身份验证类型: 选择“PAP”
·          共享密码: 共享密码要和动态口令认证服务器上配置的通信密钥一致。
·          服务器超时时间(秒): 默认为“3”。最大尝试连接次数: 默认为“5”
·          开启域前/后缀: 根据RADIUS服务器上配置的用户名开式确定开启域前/后缀的形式。
 Step4、是否开启短消息动态口令双因素认证功能?
·          是,执行步骤5。
·          否,执行步骤6。
  说明:
  开启短消息动态口今双因素认证功能,需要系统中已安装和配置短消息网关。


二、DKEY AM系统相关配置

Step1、登录系统
启动浏览器,登录http://ip:port(默认8080)/,输入域用户名(默认admin)和密码(默认admin)登录:



Step2、创建商户
登录进入宁盾管理平台,点击“添加商户”,填写:



Step3、添加接入设备
选择创建的商户(思科网络设备)--->双因素认证--->设备--->添加:
·          设备名称:
·          设备类型:
·          IP地址:
·          设备地址段:
·          多步认证:
·          RADIUS角色属性:


Step4、添加接入策略
选择创建的商户(思科网络设备)--->双因素认证--->策略--->添加:
·          策略名称:
·          选择认证的用户源:


Step5、调用策略
当接入设备及接入策略都添加完毕之后,再回到设备标签,选择相应的认证策略即可。



应用价值:
1、 加固身份认证,提升账号安全:支持手机令牌、多种令牌,具有一次一密,具有防暴力穷举、防词典轮询优势,有效保护登录账号安全
2、  减少运维管理成本,提升运维管理效率:支持邮件扫码、自服务平台等多种方式的令牌派发与绑定,并可根据角色进行增量派发,提高运维管理的工作效率;
3、 审计日志:详细的账号登录日志,做到用户登录可追溯。
4、 统一账号管理:无缝对接AD、OpenDJ、OpenLDAP、IBM TDS、DB及第三方账号源,实现统一账号管理。
5、  应用场景扩容:支持多品牌VPN 、Citrix/VMWare虚拟桌面、OWA/WEB应用、网络设备 、堡垒机、服务器及虚拟服务器、数据库、云等不同应用场景的双因素账号加固,支持同一令牌绑定不同场景,实现多场景扩容。
6、  兼容第三方认证系统:支持RSA  Securid,快速部署,实现宁盾认证服务与第三方令牌系统的平滑过渡及业务接管。
7、  支持本地及云部署:为满足企业移动化需求,支持本地及云部署两种方案。
 

©2018 年 宁盾科技 版权所有。

—END—

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后电话:(021)5426-3385