Windows

如何配置 Windows 登錄以獲取 OTP 作為密碼

  • January 9, 2019

我搜尋了一下,明白這是可能的,但我找不到任何線索來說明如何做到這一點。我也可以使用任何有效的伺服器,或者它必須是 SafeNet 的 blackShield 伺服器之類的東西嗎?

我正在尋找的不是如何開發它。我正在尋找架構模型或我找不到的關於它需要什麼以及如何集成身份驗證伺服器的文件,無論它是由我的公司還是任何其他公司開發的使用 windows .problem 是我不知道要尋找什麼。它必須與 Radius 一起使用?

PS:我是一名開發 AAA 應用程序的開發人員。我們有一個用於身份驗證的伺服器。

Microsoft 有一個舊概念,它讓 OTP 伺服器向 Windows 客戶端註冊一個短期登錄證書。因此,Windows 客戶端上的使用者實際上將使用 PKINIT 來獲取他的 kerberos 票證 - 使用證書登錄。 https://technet.microsoft.com/de-de/library/gg637807(v=ws.10).aspx

您仍然需要設置 CA。OTP 伺服器必須能夠代表登錄使用者請求證書…

因此,這通常以另一種方式實現。此外,我開發的解決方案(!)並以不同的方式工作。在客戶端上安裝額外的憑據提供程序。在這種情況下,privacyIDEA 憑證提供者首先根據 privacyIDEA 伺服器驗證 OTP 值。如果成功,則憑據提供程序使用 windows 密碼執行基於 windows 密碼的正常域登錄。這在不設置複雜環境的情況下非常順利 - 沒有 PKI。

這種方法的缺點是

  • 使用者沒有擺脫域密碼
  • kerberos 票證仍然是基於域密碼簽發的
  • 離線功能有限。

但另一方面,如果您要按照 Microsoft 的建議設置 CA/PKI,為什麼不首先註冊智能卡呢?這是一個很好的解決方案!

我認為 OTP 有新概念,我很好奇其他答案。

引用自:https://serverfault.com/questions/809934