1. 方案简介


传统×××的双因子认证技术是基于硬件令牌方式,IT管理员会为每个×××用户分配分发一只令牌,×××用户登录时输入令牌上显示的6位随即数字,即可完成登录是目前最为常用的强身份认证方案,它最大优点在于认证响应度高,然而采用此种方式用户需携带额外硬件设备,移动办公用户可能由于忘记携带或者丢失导致无法认证情形。

短信密码通过短信方式将包含随机密码的文本发送至用户手机上,通常用户会随身携带手机,无需携带额外硬件,无需安装软件,因此它是安全与便捷紧密结合的双因子认证解决方案。




 

 

Juniper ×××结合DKEY短信密码认证,通常Juniper ×××帐号是托管在AD/LDAP中,在完成域帐号认证之后,认证服务器会随机生成一个一次性密码并通过短信网关发送到用户手机上,用户输入至二级认证框并提交验证后才能完成认证;

这是Juniper域账户和动态密码的双重认证,因而能够很有效的保证账户信息的安全性,同时该方案兼容令牌认证。

 

1.1      认证流程 

用户登录认证的流程如下:

1.       用户在网络接入设备Juniper ×××(拨号客户端or Web)提供的登录页面中输入用户的帐号口令;

PC上通过Web访问的截图如下:


2.       Juniper ×××通过radius协议将帐号和加密后的口令提交给radius动态短信认证系统进行认证。

3.       radius动态短信认证将接收到的帐号与口令拿到LDAP上面去鉴权,如果鉴权通过,则生成动态口令并通过短信发送给用户,通过发给Juniper一个radius协议中的“challenge”消息;如果鉴权失败,则返回给Juniper一个radius协议中的“reject”消息。

4.       Juniper根据radius系统返回的challenge消息,反馈给用户进一步输入动态口令的页面;如果radius系统返回的是reject消息,Juniper则立即提示用户认证失败。

PC上通过Web访问的截图如下:

 

5.       用户收到动态口令短信之后在Juniper提供的进一步输入动态口令的页面中输入动态密码,并提交后。JUNIPER再通过radius协议将动态密码传输给radius系统做进一步认证。

6.       Radius系统将JUNIPER传过来的动态密码与系统中记录的数据进行比对,根据结构反馈给JUNIPER一个“accept”或者“reject”消息。

7.       如果JUNIPER接收到reject消息,则提示用户认证失败;反之如果接收到accept消息,则在JUNIPER上面的认证成功完成。

1.2      系统组成


名称



型号规格



数量



提供方



DKEY 短信认证服务器软件



DKEY TMS-Express



1/2个副本,可作主从备份方案。



宁盾



短信网关集成/短信猫



客户方提供短信网关接口,宁盾负责集成入DKEY TMS



1



客户/宁盾



服务器



2G内存、双核、硬盘140G以上,支持跨平台部署。



1



客户


 

2. 配置要点

2.1      Juniper配置要点

2.1.1 创建Radius服务

测试地址可填ningdun.3322.org

Shared Secret默认为dkeyserver

超时填写30秒以上

 

2.1.2 挂载Realm

将刚刚创建的RADIUS认证服务挂载到Realm,Authentication选择刚刚创建的RADIUS认证服务

 

2.2         DKEY TMS系统相关配置

2.2.1 配置RADIUS

从导航栏打开 RADIUS配置”,将认证模式设为“多次认证”,认证内容设为“静态和动态密码”,勾选“RSA兼容模式”,如果希望不允许未绑定手机的用户登录则勾选“强制强认证”:


 

2.2.3 添加手机属性

从导航栏打开“认证管理”->“通用属性”,添加mobile属性:


2.2.4 添加AD用户源

从导航栏打开“认证管理”->“用户列表”,点击“添加用户数据源”:


配置说明:

名称:数据源的名称,可随意填写;

协议:AD使用LDAP协议进行访问;

地址:域控制器的地址;

端口:LDAP默认端口389

根:配置LDAP根。上图的示例与下图的AD配置对应:

表示以“test.ndkey.com”域的“ningdunOU作为根目录;

只读:目前DKEY TMS不支持AD的写入操作,请勾选此选项;

用户名:AD中的一个用户名;

密码:该用户的密码;

唯一标识字段:AD的特殊配置,请填写objectGUID

用户名字段:AD的特殊配置,请填写userPrincipalName

登录名匹配;@后缀为域名。

AD用户数据源添加成功之后可以点击“认证管理”->“用户列表”,选择刚刚添加的数据源进行查看:


2.2.5 映射手机属性

DKEY TMS支持从AD中直接提取用户手机号。

点击“认证管理”->“用户列表”,选择新添加的AD数据源,点击操作栏的“属性映射”->“添加映射”:

将目标属性和源属性都设为“mobile”。

2.2.6 设定短信密码

点击“消息型令牌”->“令牌设定”。选择“SMS_Plain”型号并点击“选择”,页面将显示短信密码的设定情况:

将检索属性设为“mobile”,DKEY TMS可以直接提取用户的手机号属性用于发送密码。

2.2.7 为用户绑定手机号码

在域控制器上双击目标用户,在属性窗口点击“电话”标签,在“移动电话”输入框填入用户手机号码: 

2.2.8 配置短信发送通道