Step-By-Step,轻松玩转华为云桌面双因素配置

受移动化影响,允许员工随时随地办公。企业通过部署华为云桌面为员工建立外网访问通道,外出员工只需输入用户名密码即可完成认证,随着账号安全泄漏事件频发,我们不得不怀疑这种登录方式真的安全吗?企业账号安全面临的挑战:

账号身份安全:

1.        员工账号密码简易;

2.        互相知晓账号密码,员工密码缺少私密性;

3.        员工账号密码“终身”使用;

4.        市场上存在大量密码破解程序及字典轮询工具,给账号密码破解带来隐患。

运维管理安全:

1.        企业运维人员在增强密码强度上(字母、数字、8~16位)耗时耗力;

2.        定期需要通过定期修改密码进行维护;

3.        员工忘记密码带来的重复性操作。

 

宁盾双因素认证平台持有商密、国密证书,是面向政府、金融、互联网、能源等中大型企业、事业单位的强身份认证平台。通过与华为云桌面管理平台对接,用户登录认证时,在原有账号密码的基础之上增加动态密码,形成账号密码双因素认证保护。支持手机APP令牌、微信令牌、短信令牌、硬件令牌等多种动态密码生成器,增强员工账号隐私性,节省运维人员管理成本。目前宁盾双因素已成为国内600家中大型企业的一致选择。

解决方案

首先将宁盾认证服务器(ND ACE)部署在核心网络环境中,并与AD/LADP帐号源进行对接,建立用户账号与宁盾令牌之间的绑定关系,支持关闭源密码(如图,只需输入用户名动态密码即可)。

1、  用户认证时,输入账号名及动态密码;

2、  配置后的华为云桌面将认证指向Radius服务器(宁盾DKEY AM服务器),并将用户名动态密码通过radius协议发送给DKEY AM;

3、  DKEYAM接收请求,将账号发送至AD服务器进行校验,并根据校验结果与账号令牌种子进行校验, 校验成功,即为通过。

动态密码形式多样:

1.        时间令牌账号加固:宁盾手机APP令牌、硬件令牌通过将令牌种子与UTC时间基于SM3算法生成的一次性时间令牌,该令牌每隔固定时间变化一次,任何一个动态口令能且仅能认证一次,。

2.        短信令牌账号加固:宁盾短信令牌是通过将员工手机号与企业身份绑定,在完成账号口令认证后,输入短信验证码才可进入。有效提高用户的账号安全。

3.        微信令牌账号加固:宁盾微信令牌通过与企业微信对接,在用户认证时,通过企业微信的方式将动态口令发送至用户手中,这种方式无需额外令牌,实现企业微信的统一管理。

  

手机令牌

微信令牌

硬件令牌

 

配置详情

一、华为云桌面配置项:

将华为云桌面的认证指向Radius服务器(宁盾DKEY AM服务器)

 

操作步骤

  开启动态令双因素认证功能

Step1、在PusionAccess中,选择“系统管理》初始配置》桌面组件”。

进入“桌面组件”页面。

Step2、在“WI配置”区域的对应WI组件配置信息的“操作”栏,单击。

  显示WI组件配置信息。

Step3、在“WI集群配置”区域,配置以下参数。

·         认证方式。帐号和密码。

·         双因素身份验证: 选择“RADIUS”。

·         名称RADIUS服务器的名称。

·         IP地址RADIUS服务器的IP地址。

·         端口: RADIUS服务器的端口号。

·         NAS标识符: RADIUS服务器的NAS标识符。

·         身份验证类型: 选择“PAP”

·         共享密码: 共享密码要和动态口令认证服务器上配置的通信密钥一致。

·         服务器超时时间(秒): 默认为“3”。最大尝试连接次数: 默认为“5”

·         开启域前/后缀: 根据RADIUS服务器上配置的用户名开式确定开启域前/后缀的形式。

 Step4、是否开启短消息动态口令双因素认证功能?

·         是,执行步骤5。

·         否,执行步骤6。

  说明:

  开启短消息动态口今双因素认证功能,需要系统中已安装和配置短消息网关。

 

二、DKEY AM系统相关配置

Step1、登录系统

启动浏览器,登录http://ip:port(默认8080)/,输入域用户名(默认admin)和密码(默认admin)登录:

Step2、创建商户

登录进入宁盾管理平台,点击添加商户,填写:

Step3、添加接入设备

选择创建的商户(思科网络设备)--->双因素认证--->设备--->添加:

·         设备名称:

·         设备类型:

·         IP地址:

·         多步认证:

·         RADIUS角色属性:

Step4、添加接入策略

选择创建的商户(思科网络设备)--->双因素认证--->策略--->添加:

·         策略名称:

·         选择认证的用户源:

Step5、调用策略

当接入设备及接入策略都添加完毕之后,再回到设备标签,选择相应的认证策略即可。

 应用价值:

1、  加固身份认证,提升账号安全:支持手机令牌、多种令牌,具有一次一密,具有防暴力穷举、防词典轮询优势,有效保护登录账号安全

2、  减少运维管理成本,提升运维管理效率:支持邮件扫码、自服务平台等多种方式的令牌派发与绑定,并可根据角色进行增量派发,提高运维管理的工作效率;

3、  审计日志:详细的账号登录日志,做到用户登录可追溯。

4、  统一账号管理:无缝对接AD、OpenDJ、OpenLDAP、IBMTDS、DB及第三方账号源,实现统一账号管理。

5、 应用场景扩容:支持多品牌VPN 、Citrix/VMWare虚拟桌面、OWA/WEB应用、网络设备 、堡垒机、服务器及虚拟服务器、数据库、云等不同应用场景的双因素账号加固,支持同一令牌绑定不同场景,实现多场景扩容。

6、 兼容第三方认证系统:支持RSA Securid,快速部署,实现宁盾认证服务与第三方令牌系统的平滑过渡及业务接管。

7、 支持本地及云部署:为满足企业移动化需求,支持本地及云部署两种方案。

 

 

阅读更多

没有更多推荐了,返回首页