Aventail-域账户和短信密码结合的双因子认证.pdfVIP

Aventail - 域账户和短信密码结合的双因子认证 适用型号适用型号: : 适用型号适用型号: : Aventail: SRA EX7000; SRA EX6000 固件固件/软件版本软件版本: 所有版本 固件固件 软件版本软件版本 概述概述: : 概述概述: : 短信密码认证是双因子认证的一种方式，在完成域账户认证之后，认证服务器会随机生成一个 一次性的密码通过短信网关发送到用户手机上，用户需再次输入短信密码才能完成认证。这是 域账户和短信密码的双重认证，因而能够很有效的保证账户信息的安全性。 以下我们将介绍如何将SonicWALL Aventail SSLVPN 和宁盾动态身份认证系统(第三方的认证 系统)配合使用，完成对 SSLVPN 登录用户的域账户加短信密码的双因子认证。 硬件准备硬件准备： ： 硬件准备硬件准备：： 1. 域认证服务器 2. 宁盾动态身份认证系统 （包括宁盾认证系统和短信网关） 工作原理工作原理： ： 工作原理工作原理：： 第一步：用户输入域账户和密码登录Aventail SSLVPN设备 第二步：Aventail SSLVPN 设备通过 Radius协议转发域账户信息至宁盾认证系统进行认证 第三步：宁盾认证系统通过Radius或者 LDAP协议转发域账号信息至域认证服务器进行域账户 查询 第四步： 域账户返回认证结果给宁盾认证系统 第五步：如果认证成功，宁盾认证系统则会通知 Aventail SSLVPN设备等待新口令输入 第七步： 短信网关则会把短信密码发送至用户手机 第八步： 用户再次输入短信密码，登录成功 配置配置： ： 配置配置：： 1. Aventail 配置 在 Authentication ServerAuthentication Server 中新建一个 RadiusRadius 的认证类型。Radius Server的地址填写宁盾 Authentication ServerAuthentication Server RadiusRadius 认证系统的 IP地址，端口号是 1812；Shared secret1812 Shared secret 保持和宁盾系统上的 shared secret 一 Shared secretShared secret 致。Match RADIUS groups byMatch RADIUS groups by 选择 filterid attfilterid attribute(11)ribute(11) Match RADIUS groups byMatch RADIUS groups by filterid attfilterid attribute(11)ribute(11) 创建一个基于短信认证的 Realm 2. 宁盾认证系统配置 在宁盾中配置需要查询的 AD域服务器信息。需填写域服务器地址，端口号，根，用户名和密 码，标示字段等。 配置完后，就能读到AD认证服务器上相应的组信息 3. AD 域服务器配置 在 Administrative ToolsActive Directory Users and ComAdministrative ToolsActive Directory Users and Computersputers 中，添加域账户。需注 Administrative ToolsActive Directory Users and ComAdministrative ToolsActive Directory Users and Computersputers 意的是，需要在 TelephonesTelephones 那页中，填入用户的手机号码，用于接收短信密码。没有其他特 TelephonesTelephones 殊配置。