400-658-2855
< 返回 首页 > 关于宁盾 > 新闻中心 > 行业动态 > Step-By-Btep,轻松玩转华为云桌面双因素配置

Step-By-Btep,轻松玩转华为云桌面双因素配置

发布时间:2018-08-29 11:08:16 来源: 点击量:

受移动化影响,允许员工随时随地办公。企业通过部署华为云桌面为员工建立外网访问通道,外出员工只需输入用户名密码即可完成认证,随着账号安全泄漏事件频发,我们不得不怀疑这种登录方式真的安全吗?企业账号安全面临的挑战:

账号身份安全:

1.    员工账号密码简易;
2.    互相知晓账号密码,员工密码缺少私密性;
3.    员工账号密码“终身”使用;
4.    市场上存在大量密码破解程序及字典轮询工具,给账号密码破解带来隐患。

运维管理安全:

1.    企业运维人员在增强密码强度上(字母、数字、8~16位)耗时耗力;
2.    定期需要通过定期修改密码进行维护;
3.    员工忘记密码带来的重复性操作。

宁盾双因素认证平台持有商密、国密证书,是面向政府、金融、互联网、能源等中大型企业、事业单位的强身份认证平台。通过与华为云桌面管理平台对接,用户登录认证时,在原有账号密码的基础之上增加动态密码,形成账号密码双因素认证保护。支持手机APP令牌、微信令牌、短信令牌、硬件令牌等多种动态密码生成器,增强员工账号隐私性,节省运维人员管理成本。目前宁盾双因素已成为国内600家中大型企业的一致选择。

解决方案

首先将宁盾认证服务器(ND ACE)部署在核心网络环境中,并与AD/LADP帐号源进行对接,建立用户账号与宁盾令牌之间的绑定关系,支持关闭源密码(如图,只需输入用户名动态密码即可)。
1、    用户认证时,输入账号名及动态密码;
2、    配置后的华为云桌面将认证指向Radius服务器(宁盾DKEY AM服务器),并将用户名动态密码通过radius协议发送给DKEY AM;
3、    DKEY AM接收请求,将账号发送至AD服务器进行校验,并根据校验结果与账号令牌种子进行校验, 校验成功,即为通过。

 

动态密码形式多样:

1.    时间令牌账号加固:宁盾手机APP令牌、硬件令牌通过将令牌种子与UTC时间基于SM3算法生成的一次性时间令牌,该令牌每隔固定时间变化一次,任何一个动态口令能且仅能认证一次,。
2.    短信令牌账号加固:宁盾短信令牌是通过将员工手机号与企业身份绑定,在完成账号口令认证后,输入短信验证码才可进入。有效提高用户的账号安全。
3.    微信令牌账号加固:宁盾微信令牌通过与企业微信对接,在用户认证时,通过企业微信的方式将动态口令发送至用户手中,这种方式无需额外令牌,实现企业微信的统一管理。
     

配置详情:

一、华为云桌面配置项:

将华为云桌面的认证指向Radius服务器(宁盾DKEY AM服务器)

操作步骤
  开启动态令双因素认证功能
Step1、在PusionAccess中,选择“系统管理》初始配置》桌面组件”。
进入“桌面组件”页面。
Step2、在“WI配置”区域的对应WI组件配置信息的“操作”栏,单击。
  显示WI组件配置信息。
Step3、在“WI集群配置”区域,配置以下参数。
•    认证方式。帐号和密码。
•    双因素身份验证: 选择“RADIUS”。
•    名称RADIUS服务器的名称。
•    IP地址RADIUS服务器的IP地址。
•    端口: RADIUS服务器的端口号。
•    NAS标识符: RADIUS服务器的NAS标识符。
•    身份验证类型: 选择“PAP”
•    共享密码: 共享密码要和动态口令认证服务器上配置的通信密钥一致。
•    服务器超时时间(秒): 默认为“3”。最大尝试连接次数: 默认为“5”
•    开启域前/后缀: 根据RADIUS服务器上配置的用户名开式确定开启域前/后缀的形式。
 Step4、是否开启短消息动态口令双因素认证功能?
•    是,执行步骤5。
•    否,执行步骤6。
说明:
  开启短消息动态口今双因素认证功能,需要系统中已安装和配置短消息网关。

二、DKEY AM系统相关配置

Step1、登录系统
启动浏览器,登录http://ip:port(默认8080)/,输入域用户名(默认admin)和密码(默认admin)登录:
 
Step2、创建商户
登录进入宁盾管理平台,点击“添加商户”,填写:
 
Step3、添加接入设备
选择创建的商户(思科网络设备)--->双因素认证--->设备--->添加:
•    设备名称:填写所保护设备名称;
•    设备类型:选择相应的网络设备类型即可,如果不确定的情况下,推荐使用“通用设备”;
•    IP地址:所保护的设备IP地址;
•    设备地址段:可选(windows或者linux登录保护使用);
•    共享密钥:设置与Device 交互报文时使用的认证和授权共享密钥为“123456”;
•    多步认证:确定Device是否支持多步认证,默认“禁用”;
•    RADIUS角色属性:一般选择默认即可;
 
Step4、添加接入策略
选择创建的商户(思科网络设备)--->双因素认证--->策略--->添加:
•    策略名称:填写策略名称;
•    静态密码认证:确定是否开启静态密码,默认开启;
•    动态密码认证:确定是否开启动态密码,默认禁用;
•    选择认证的用户源:选择相应的用户源,默认是关闭;注:必须需要选择一个用户源,否则无法提交;
 
Step5、调用策略
当接入设备及接入策略都添加完毕之后,再回到设备标签,选择相应的认证策略即可。
 

应用价值:

1、    加固身份认证,提升账号安全:支持手机令牌、多种令牌,具有一次一密,具有防暴力穷举、防词典轮询优势,有效保护登录账号安全
2、    减少运维管理成本,提升运维管理效率:支持邮件扫码、自服务平台等多种方式的令牌派发与绑定,并可根据角色进行增量派发,提高运维管理的工作效率;
3、    审计日志:详细的账号登录日志,做到用户登录可追溯。
4、    统一账号管理:无缝对接AD、OpenDJ、OpenLDAP、IBM TDS、DB及第三方账号源,实现统一账号管理。
5、    应用场景扩容:支持多品牌VPN 、Citrix/VMWare虚拟桌面、OWA/WEB应用、网络设备 、堡垒机、服务器及虚拟服务器、数据库、云等不同应用场景的双因素账号加固,支持同一令牌绑定不同场景,实现多场景扩容。
6、    兼容第三方认证系统:支持RSA  Securid,快速部署,实现宁盾认证服务与第三方令牌系统的平滑过渡及业务接管。
7、    支持本地及云部署:为满足企业移动化需求,支持本地及云部署两种方案。

©2018 年 宁盾科技 版权所有。

—END—

全场景身份与访问管理


申请试用 -->

上海宁盾信息科技有限公司
  • 产品咨询:400-658-2855
  • 售后服务:4000-977-168