Zimbra的双因素认证

Question

我一直在寻找一个双因素认证，很好地工作与Zimbra开源版本。

我看过的其中一个产品- eToken PASS(http://www.safenet-inc.com/multi-factor-authentication/authenticators/one-time-password-otp/etoken-pass/)需要运行在Windows上的软件，而且我内部没有任何Windows，所以对我不起作用。另外，一些正在使用Outlook的用户将无法使用此方法进行身份验证。

更直接的选择是：http://www.safenet-inc.com/multi-factor-authentication/authenticators/pki-usb-authentication/。这基本上是USB密钥中的SSL证书。显然，这适用于浏览器和电子邮件客户端，并且不需要任何额外的后端软件进行身份验证。有谁有将类似设备与Zimbra集成的经验吗？

另一个问题是，对于服务器上数量有限的用户，我只需要这两个因素。这有可能吗？

Answer 1

如果您正在使用电子令牌(pki-usb-身份验证)，您可能会在浏览器中进行客户端证书身份验证。这需要重新配置Apache服务器以要求客户端证书。这就是问题所在。在用户/浏览器提供客户端证书之前，无法确定要验证哪个用户。因此，没有令牌/客户端证书的用户将很难进行身份验证。然而，在这种解决方案中，您可以将eToken注册到一个用户组，而将软证书注册到另一个用户组。

您可以使用eToken PASS作为一个一次性密码生成器。eToken通行证也可以是种子，所以您不需要信任供应商和发行商。你应该看看智能显示器显示卡。这些不能播种，但真的很酷，因为有一个ePaper显示器，他们适合你的钱包。作为另一个硬件设备，您可能会看到Yubikey，它同样可以被播种。

恭喜你。您没有windows服务器;-)那么为什么不使用像私处这样的基于linux的身份验证后端呢？它支持所有提到的标记。

就Zimbra而言，又有两种可能性。

答:您配置了two服务器，以便在进入zimbra登录屏幕之前执行两个因素的身份验证。但在这种情况下，你的智能手机应用程序可能会出现问题。(您也会遇到客户端证书)

B.在zimbra中使用2fa验证用户。它看起来至少是支持SAML。您可以将privacyidea设置为SAML身份提供者，Zimbra设置为服务提供者。用户使用两个因素对IdP进行身份验证，然后登录到ZImbra。最近我在IdP将私有信息设置为上写了一篇如何操作的文章。

希望这能作为一个起点。