400-658-2855
< 返回 首页 > 关于宁盾 > 新闻中心 > 公司动态 > ACS对接宁盾双因素认证,让数字身份更安全

ACS对接宁盾双因素认证,让数字身份更安全

发布时间:2020-06-04 14:03:30 来源: 点击量:

1. 项目背景

随着互联网的快速发展和信息化程度的不断提高,互联网深刻影响着政治、经济、文化等各个方面,保障信息安全的重要性日益凸显,加强对互联网上各类信息的管理应引起高度重视。

为解决通过ACS登录网络设备只有静态密码的问题,希望在当前设备不做较多改变的前提下,增加宁盾双因素认证解决方案,在原有账号密码基础上提升账号安全,从而保障网络信息化安全。


2. 项目目标
  • 本方案包括不限于对以下进行测试,已验证宁盾产品是否满足当前双因素认证需求,通过在中行部署宁盾认证系统后,期望实现以下目标:
  • a. ACS设备对接,满足认证授权分离
  • b. 增加密码安全,加强网络设备密码强度
  • c. 实名可审计,有效控制账登录及操作可实名追溯
  • d. 满足国家等保要求,所以账号实现静态+动态密码方式通过认证
  • e. 提供多种形式令牌验证方式。

3. 项目拓扑

当用户登录时网络设备时,设备通过ACS发起认证请求到认证服务器,经过身份认证后,设备会发起tacacs+授权请求,由ACS进行授权审计管理。


4. 方案介绍

静态密码只能对用户身份的真实性进行低级认证。宁盾双因素认证在网络设备原有静态密码认证基础上增加第二重保护,通过提供手机令牌或短信令牌动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管帐号的静态密码认证工作。通过在配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。打开进行用户名+静态密码认证,认证通过之后获取动态密码(手机APP/短信接收方式),从而进行动态密码验证,通过之后方可放行。


用户认证验证流程:
  • a. 用户通过SSH/Telnet或者网页界面登陆网络设备;
  • b. 输入用户名和静态密码+动态密码
  • c. ACS服务器将收到的用户名和所有密码通过RADIUS发送给宁盾服务器;
  • d. 宁盾服务器在本地验证用户名、静态密码和动态密码;
  • e. 认证成功,ACS服务器放行该用户并授权,认证失败,ACS服务器拒绝该用户登陆。

5. 平台配置
  • (1). 宁盾平台配置:
  • a. 新增设备,添加ACS地址以及共享密钥;
  • b. 调用认证策略;
  • c. 添加测试账号.
  • (2). Cisco ACS 配置
  • Network Decive and AAA Clients:按照不同的分组,设置好相关的设备.
  • Users and Identity Stores:在RADIUS Identity Servers选项中,进行User的Radius认证服务器的设置;
  • a. 新建一个RADIUS Identity Servers;
  • b. 点击新建的服务器,进行General设置,对接宁盾服务器;
  • c. 进行Directory Attributes设置,进行用户传递的属性设置;
  • d. 进行Advanced设置,开启用户缓存;
  • e. 完成RADIUS Identity Servers的设置;
  •  
  • (3). Policy Elements
  • 设置用户认证通过之后的权限以及相应的命令权限;
  • a. 进行Shell Profile设置,配置用户等级;
  • b. 进行Command Sets设置,配置用户的命令权限
  • (4). Acess Polices
  • a. 配置ACS的策略信息,进行人员和设备的分类
  • b. 设置Access Services,新建一个名为ningdun的Service,并勾选相关的设置
  • c. 进行Service Selection Rules设置,新建策略,关联之前名为ningdun 的Service
  • d. 通过调整位置,使不同的Service生效,图中的Rule-3的策略调整到第二的位置,使刚刚新建的ningdun 的Service生效
  • e. 针对名为ningdun的策略服务器进行设置,Identity设置,选择之前的ningdun用户认证方式
  • f. Authorization设置,按照不同的设备组,匹配不同的宁盾传递过来的用户属性,设置相应的用户等级,以及命令权限

6. 应用价值
  • 账号双重保护:宁盾双因素认证在服务器原有账号密码认证基础之上增加一层动态密码认证,以此提升服务器登录认证安全,解决弱身份鉴别可能引发的信息泄漏隐患;
  • 多种认证方式:短信令牌、手机令牌等动态密码形式各有优势,客户根据需求自由选择,也可以多种组合;
  • 与服务器无缝集成:内置Radius认证模块,可与AD、LDAP等标准账号源结合,同时也支持与其他企业本地应用、私有云应用以及SAAS等的对接;
  • 实名追溯:详尽的登录日志,发生安全事件时可定位到个人,做到用户认证可审计,满足了等保要求;
  • 管理收益:提升日常运维管理工作水平,保证自身的信息资产合理而完整的框架下得到妥善保护,实现风险管理,在发生安全事件时,确保信息环境有序稳定地运作,将损失降到最低。

©2020 年 宁盾科技 版权所有。

—END—

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后服务:4000-977-168