2FA身份管理认证

Question

我的公司计划为我们机器中的服务工具(用于维护)引入具有更高安全性要求的用户登录。到目前为止，我们用一个简单的PW登录，这是逐渐为每个人所知道的。

新的身份验证方法应该需要2FA。每个服务技术人员都配备了一部智能手机，所以我想到了以下认证过程：

服务技术人员的电话号码将在服务器上注册(独立于机器)，他们只能通过此电话请求代码，可能与机器的序列号相结合。代码将在请求者的智能手机上自动发送。有了这个代码，维修技师就能够在机器上登录，并且他可以访问维修工具。

我的问题是:我听说了很多关于身份管理和框架以及公钥/私钥方法的内容。问题的症结在于我们的机器正在离线运行。因此，第一个要求是我们能够管理服务器上的服务技术人员(添加/删除服务技术人员的权限)(名称、ID等)。所以他们可以请求一个代码(2FA)，第二个是他们可以在机器上登录，即使机器离线了。

如何管理机器上的登录与服务器端的身份管理解耦？有没有更简单的方法在安全性更高的离线机器上进行登录？

Answer 1

基于用户的身份验证

您首先需要将系统连接到中央身份管理服务器(基于LDAP)。这样，每个用户都将拥有自己的帐户，并且您将拥有一个易于管理他们的系统。根据您的需求，我建议您使用Univention Corporate Server (UCS)

您应该能够使用安全断言标记语言( Security Assertion Markup Language，SAML)将您的服务工具与其连接起来，并将身份管理服务器作为身份提供者。(实现的功能，在其文档中有详细说明)

不幸的是，由于您没有告诉我们更多关于您的工具及其可能性的信息，我无法直接向您解释如何做到这一点。

向身份验证添加第二个因素

完成此操作后，您的用户将能够使用自己的帐户和密码。要向他们的身份验证添加第二个因素，您可以使用软件privacyID3A。它专为满足您的需求而设计，并且已经在统一计算系统中作为App实施，这将使其更易于部署。

您的用户可以使用FreeOTP Authenticator、Google Authenticator或其他Supported Tokens。

需要连接(回答您的“脱机”备注)

您的机器需要连接到您的身份管理服务器。它们通信的端口由您要对用户进行身份验证的服务确定。(SSH/Sudo将需要PAM，SAML将需要HTTPS，等等)

如果每台机器实际上都处于离线状态，并且没有与其他任何东西连接，那么您将无法从每台机器上外包身份验证。

唯一必须从互联网部分访问的计算机将是您的身份管理服务器，并且只能通过令牌在某些端口上访问。要做到这一点，最安全的方法是为这些端口建立一个简单的隧道。

Answer 2

许多IAM服务器应用程序将帮助您实现这一点，但您的应用服务器和IAM服务器之间的连接将是必需的。如果在您的生态系统中分区很强，您可以规划多个前端并拥有一个共享数据库后端。

请注意，任何使MFA功能离线的IAM解决方案也会带来新的风险，因为MFA挑战通常是预先计算并存储在本地缓存中的。可被黑客入侵的本地缓存。

我最好的建议是使用RCDevs (https://www.rcdevs.com/)作为IAM服务器，它几乎不需要更改用户向服务器( Linux或Windows)进行身份验证的方式，因为它支持开放格式的动态口令(如OATH)，因此可以以很低的成本添加MFA功能。

从那时起，应用服务器和IAM服务器之间的所有通信都是基于Web服务(HTTPS)的，这使得防火墙、端口开放和Web过滤安全控制变得容易。

RCDevs提供了完整的软/硬令牌注册系统(包括工作流)和创新的身份验证方式(如QRCode)。

身份可以在LDAP专用目录中进行管理，也可以基于活动目录进行管理。

用户被要求提供不同流程的登录、密码和代码，以及您需要的内容。

如果需要的话，可以问我更多，因为这是一个广泛的主题。

杰夫