1、            方案简介

 

领先的动态密码解决方案提供商上海宁盾信息科技有限公司发布其《DKEY服务器动态口令认证解决方案》,网络管理员只需输入令牌上显示的每隔30/60秒变化一次的随机密码,即使被窃取,由于其一次使用有效的特点,也无法使用,虽然这不是一门新的技术,但是它是目前公认最有效的安全网管技术,DKEY支持为LinuxUnixAIXHP-UNIXSaloris)、BSD服务器增加动态口令安全访问,有效解决密码失窃引起的服务器被非授权访问风险,同时节约密码管理成本。

      DKEY服务器动态口令认证解决方案目前是国内IDC、电商、电子政务行业部署最多的案例。

 

2、            认证流程

2.1            系统登录

root用户为例,用户名输入root

在第一次提示输入密码时输入该用户的静态密码:

在第二次提示输入密码时输入该用户绑定的令牌的动态密码:

 

2.2            SSH

root用户为例,连接SSH,在第一次提示输入密码时输入该用户的静态密码,在第二次提示输入密码时输入该用户绑定的令牌的动态密码:

 

3、            系统配置

3.1认证服务器

为了使DKEY动态口令能够保护类Unix系统,需要部署DKEY TMS认证服务器,并进行如下几步操作:

(1)       在认证服务器上创建和目标系统对应的账号

(2)       将账号与动态令牌建立绑定关系

 

3.2 Linux/AIX/BSD服务器

AIX为例,安装PAM NDKEYPAM NDKEY配置和使用方法与PAM RADIUS类似。

3.2.1          安装PAM NDKEY

解压缩pam_ndkey.tar:

tar xvf pam_ndkey.tar

pam_ndkey拷贝至/lib/security/

 

pam_ndkey.conf拷贝至/etc/

3.2.2          配置PAM NDKEY并启动PAM

编辑/etc/pam_ndkey.conf:

其中“192.168.56.1”应为DKEY TMS服务器的地址,并设置DKEY TMS默认域Default认证客户端密码30为超时时间,建议配置为10~30秒,如果配置多个认证服务器建议配置10秒以下。

 

4     容灾

Linux/Unix服务器无法连接认证服务器或者认证服务器故障时,可以通过备用radius服务将认证方式回滚为静态密码登录。

 

5     SSH客户端配置

5.1              SecureCRT

选择一个session,打开属性窗口,配置“Login Actions”,勾选“Display login prompts in terminal window:

配置SSH2Authentication,仅选择“Keyboard Interactive”,去掉其它选项如果同时使用证书认证,请同时勾选“PublicKey”。