# 双因素认证
说明
证书认证和OTP认证不能同时开启。
# 证书认证
为了提高了的安全可靠性,避免因用户信息泄露引发安全问题,提供证书认证功能。启用证书认证功能后,用户登录需要同时拥有客户端证书和客户端私钥证书才能通过认证并登录成功。
用户从正式的CA认证机构申请根证书和客户端证书文件后,可以通过证书认证功能上传到,再为每个客户端证书绑定一个本地用户。绑定成功后,用户打开浏览器上传客户端私钥证书。上传成功后,用户进入登录页面根据提示信息选择客户端证书,就能以客户端证书绑定的本地用户的身份登录。
说明
- 启用证书功能前,请通过正式的CA认证机构申请根证书、客户端证书、客户端私钥证书。
- 启用证书吊销检查功能前,请确保Web服务器和OCSP(Online Certificate Status Protocol,在线证书状态协议)服务器可以正常通信。
- 支持上传Base64编码的根证书和客户端证书,证书格式包括:*.cer、*.crt、*.pem。浏览器仅支持上传*.p12格式的客户端私钥证书。
- 上传证书时,请确保证书文件名长度不超过32个字符,且文件名不包含`&();'空格等特殊字符。
- 启用证书功能前,必须导入根证书和客户端证书,并绑定已启用 Web访问权限的本地用户。否则,在后续登录时会出现无法认证的情况。
- 最多可以上传20个根证书,每个根证书最多可以上传16个客户端证书,支持最多上传20个客户端证书。每个客户端证书只能绑定一个本地用户。
# 上传证书操作步骤
- 单击[用户&安全/双因素认证]菜单项,选择“证书认证”页签,进入证书认证页面。
- 单击
按钮,在对话框中选择根证书文件,再单击<上传证书>按钮,可以上传根证书文件。 - 在根证书列表中查看已上传的根证书信息,单击操作栏的<上传客户端证书>按钮,在对话框中选择并上传客户端证书。
- (可选)单击操作栏的<删除>按钮可以删除根证书或客户端证书。
# 绑定本地用户操作步骤
- 单击[用户&安全/双因素认证]菜单项,选择“证书认证”页签,进入证书认证页面。
- 单击目标客户端证书操作栏的<用户绑定>按钮,在对话框中选择用户,可以把客户端证书和本地用户绑定在一起。
- (可选)单击操作栏的<用户解绑>按钮可以解除绑定关系。
# 启用证书认证功能操作步骤
- 单击[用户&安全/双因素认证]菜单项,选择“证书认证”页签,进入证书认证页面。
- 选择开启“证书认证”功能,在对话框中输入当前登录用户的密码,并选择要启用的目标根证书,校验通过后可以开启“证书认证”功能。
- (可选)选择开启“证书吊销检查”功能,在对话框中输入当前登录用户的密码,校验通过后可以开启“证书吊销检查”功能。
# 用户通过证书登录操作步骤
- 在客户端打开浏览器,进入浏览器的证书管理对话框。
- 在证书管理对话框中,单击<导入>按钮导入客户端私钥证书。如果生成客户端私钥证书时设置了密码,导入客户端私钥证书时需要输入证书密码。
- 重新打开客户端浏览器,进入登录页面,根据页面提示选择目标客户端证书。
- 证书校验通过后用户可以成功登录。
# 参数说明
证书吊销检查:用户选择客户端证书登录过程中,会匹配已绑定的本地用户,并将客户端证书发送给OCSP服务器,对客户端证书的合法性进行校验,若该证书为已吊销的证书,则会校验失败,导致用户无法登录。
# 注意事项
- 用户选择客户端私钥证书登录后,对应的根证书无法被删除。
- 如果用户需要切换客户端私钥证书,需要清除浏览器缓存再重新选择客户端私钥证书。
- 开启证书认证后,服务器的部分接口会受到影响,影响范围如
表1
所示。但接口的服务配置状态并不会被修改,关闭证书认证后这些接口会恢复到功能开启之前的状态。
表1 证书认证影响范围
| 接口类型 | 是否中断已存在会话或连接 | 是否屏蔽新建会话或连接 |
|---|---|---|
| Web | 否 | 否 |
| SSH | 否 | 是 |
| Telnet | 是 | 是 |
| VNC | 是 | 是 |
| Redfish | 是 | 是 |
| IPMI | 是 | 是 |
| SNMPv3 | 否 | 是 |
| SOL | 是 | 是 |
# OTP认证
通过本功能可以开启并设置OTP认证功能,提升的安全性。支持宁盾动态令牌方案,在上绑定OTP(One-Time Password,一次性密码)服务器后,可以对登录的用户执行“静态密码”+“动态密码”的双因素认证。开启OTP认证后,用户登录时不仅需要输入用户名和静态密码,还要输入手机令牌或硬件令牌上的动态密码,所有信息校验通过后,才能登录成功。
说明
- 开启OTP认证前,请保证有可访问的OTP服务器,并在OTP服务器上完成相关配置,包括添加管理IP地址、添加用户(包括本地用户和域用户)、设置用户的认证策略和令牌。
- 请谨慎配置OTP认证功能,可能会影响用户正常登录。
- 动态密码错误导致的用户登录失败达到系统锁定次数后,不会锁定该用户。
# 操作步骤
- 单击[用户&安全/双因素认证]菜单项,选择“OTP认证”页签,进入双因素认证配置页面。
- 选择开启“OTP认证”功能。
- 输入OTP服务器地址、服务端口号和共享密钥。
- 单击<保存>按钮,在对话框中输入当前登录用户的密码,校验通过后可以开启OTP认证功能。
- 配置完成后,新建 Web会话需要在登录页面输入用户名、静态密码和动态密码,才能登录。
# 参数说明
- OTP服务器地址:OTP服务器的地址,支持IPv4地址及域名地址。
- 服务端口:OTP服务器的服务端口号,缺省为1812。
- 共享密钥:在OTP服务器上添加管理IP地址时设置的共享密钥,长度为1~64个字符,支持英文字符、数字、特殊字符`~!@$%^&*()_+-=[]\{}|;':",./?,区分大小写。
# 注意事项
- 开启OTP认证后,服务器的部分接口会受到影响,影响范围如 表2 所示。但接口的服务配置状态并不会被修改,关闭OTP认证后这些接口会恢复到功能开启之前的状态。
表2 OTP认证影响范围
| 接口类型 | 是否中断已存在会话或连接 | 是否屏蔽新建会话或连接 |
|---|---|---|
| Web | 否 | 否 |
| SSH | 否 | 是 |
| Telnet | 否 | 否 |
| VNC | 是 | 是 |
| Redfish | 是 | 是 |
| IPMI | 是 | 是 |
| SNMPv3 | 是 | 是 |
| SOL | 是 | 是 |
- 开启OTP认证后,其他不支持OTP认证的管理软件或功能(包括但不仅限于FIST、 Mobile、其他服务器的联合管理)无法通过管理IP地址添加并管理当前服务器。
- 仅部分服务器支持OTP认证功能,具体支持情况请以界面实际显示为准。