巧妙解决密码安全难题,Windows服务器配置DKEY动态口令认证
1.方案简介领先的动态密码解决方案提供商上海宁盾信息科技有限公司发布其Windows服务器配置DKEY动态口令认证解决方案,动态密码其每隔30/60秒变化一个,即使被窃取,由于其一次使用有效的特点,也无法使用,另外由于动态口令产生物理隔离,因此十分适合服务器访问。
宁盾DKEY可以保护Windows系统本地登录、远程桌面登录。DKEY for Windows插件有四种版本,分别对应32/64位的Windows XP/Windows Server2003和Vista/Windows 7/Windows Server 2008(R2)。
安装配置好DKEY for Windows插件之后原生的Windows登录界面将被替换为支持动态口令认证的登录界面:
用户如果绑定了令牌,除了在密码框输入原静态密码(支持本地密码/域密码/PIN码三种)之外,还要将动态密码输入在静态密码后面。
2. 配置DKEY TMS认证服务器
DKEY TMS的安装请参考《DKEY TMS安装手册》。激活之后使用默认域dkeyserver和默认管理员密码dkeyserver登录。
2.1. 创建用户
登录DKEY TMS,导航至“用户管理”->“用户列表”,选择“Builtin”用户数据源,打开用户列表:
2.2. 关联AD账户(可选)
DKEY TMS支持直接从AD中获取用户列表,避免重复创建用户的工作。
从导航栏打开“认证管理”->“用户列表”,点击“添加用户数据源”:
配置说明:
名称:数据源的名称,可随意填写;
协议:AD使用LDAP协议进行访问;
地址:域控制器的地址;
端口:LDAP默认端口389;
根:配置LDAP根。上图的示例与下图的AD配置对应:
表示以“test.ndkey.com”域的“ningdun”OU作为根目录;
只读:目前DKEY TMS不支持AD的写入操作,请勾选此选项;
用户名:AD中的一个用户名;
密码:该用户的密码;
唯一标识字段:AD的特殊配置,请填写objectGUID;
用户名字段:AD的特殊配置,请填写userPrincipalName;
登录名匹配;@后缀为域名。
AD用户数据源添加成功之后可以点击“认证管理”->“用户列表”,选择刚刚添加的数据源进行查看:
2.3. 绑定令牌
在“认证管理”->“用户列表”中点击用户数据源链接:
为Windows本地用户绑定令牌则点击“Builtin”,为AD中的用户绑定令牌则点击AD数据源。
点击“绑定”链接:
选择时间型令牌,输入令牌序列号后点击“绑定”:
3. 安装DKEY for Windows
选择适用的版本进行默认安装。安装成功之后在开始菜单会新增DKEY for Windows项:
点击“配置”,打开配置文件:
address:DKEY TMS服务器IP地址或域名;
address2: DKEY TMS备机地址;
userNameSuffix:向DKEY TMS提交认证请求时自动添加用户名后缀,用以区分相同用户名从不同机器上登录。
配置完成后保存文件,点击“启用动态令牌”。确认之后,Windows XP/2003需要重新启动才能生效,Vista/Windows 7/Windows Server 2008(R2)无需重启。
4. 使用动态密码登录
不同版本的Windows登录界面会有少许区别:
其中AD域名部分为可选,如果使用本机用户登录则无需输入。
5.区分多台计算机的相同用户名
在服务器没有接入AD的情况下,管理员通常使用administrator用户登录服务器。如果有多台服务器都是用动态口令,但是这些服务器的管理人员不同,那么认证服务器就需要能够区分不同服务器登录的同名用户。此时需要配置userNameSuffix:
如图,当配置为@192.168.56.5时,以administrator登录会自动匹配为认证服务器
【注】userNameSuffix的配置没有特殊要求,可以是任意字符串。
沙发!沙发! 我本非随便的人,但如果你想随便,那我就随你的便好啦! 人生不能像做菜、把所有的料都准备好才下锅! 沙发!沙发! 男人在结婚前觉得适合自己的女人很少,结婚后觉得适合自己的女人很多。 长大了娶唐僧做老公,能玩就玩一玩,不能玩就把他吃掉。
页:
[1]