上次介绍了ExchangeOWA上启用MFA多因子认证,今天介绍下,通过MFA的RADIUS来实现多因子认证! 安装启用MFA、导入AD账号、设置电话号码、语言选项等过程可参考上篇文章(https://blog.51cto.com/hubuxcg/2068870) 中1-14步骤的内容,这里只介绍下Radius的配置部分 1、 启用MFA中的Radius功能 ![](https://s4.51cto.com/images/blog/201802/06/553e58368102af8cbc0a6098cb754957.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 2、 添加需要RAIDUS验证的设备IP、设备名、共享密码、勾选需要多因子认证 ![](https://s4.51cto.com/images/blog/201802/06/adc971ba0ee268d7d677058a0eb76e20.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 3、 选择目标:Windows Domain,即从Windows域中进行用户 验证 ![](https://s4.51cto.com/images/blog/201802/06/e820d2f3f62fb16a9b1f7b0caf2779d0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 4、 MFA配置完成后,修改×××设备上的Radius认证配置,下面以CISCO ASA 为例子,先新增Radius服务器组 ![](https://s4.51cto.com/images/blog/201802/06/9bf297baecb91cbba39393faec028551.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 5、 新增Radius认证服务器 ![](https://s4.51cto.com/images/blog/201802/06/35d951accbba2604952706cf268dac87.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 6、 指定服务器名称或IP地址,即安装配置的MFA服务器IP地址,共享密码(第二步中配置的密码),配置完成后保存。 ![](https://s4.51cto.com/images/blog/201802/06/5b9597254b92ac3754de21e07737d448.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 7、 服务器端配置完成,开始×××连接验证,输入用户名密码后,开始验证登录信息 ![](https://s4.51cto.com/images/blog/201802/06/84a4410e456a8c9897a69c709f761b13.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 8、 这里需要等待电话验证,你在前面设置的手机会接到一个陌生号码拔过来的电话,如果你不接,或是挂断,×××拔号会提示验证失败禁止登录! ![](https://s4.51cto.com/images/blog/201802/06/e1549660da69806c685ca6c03da4faaa.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![](https://s4.51cto.com/images/blog/201802/06/c8eca69fbc977d08a371f2eea6c92b2e.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 9、 如果你正常接通,依语音提示按#键进行验证(或是PIN码方式) ![](https://s4.51cto.com/images/blog/201802/06/2dd9fed919a5d0cc6c98075071d6df35.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 10、 验证通过,即可正常连接! ![](https://s4.51cto.com/images/blog/201802/06/6d777c4b654d60cab5a4a52c223f639f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 11、 因为加入多因子验证后,验证时间会增加,默认的10秒会不够,所以建议将Radius的Timeout时间加长,如:加到30秒,或依情况调整。 ![](https://s4.51cto.com/images/blog/201802/06/9b3ff0f278e16e70a473f8121c8220b9.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)