Я искал двухфакторную аутентификацию, которая хорошо работает с версией Zimbra с открытым исходным кодом.
Один из продуктов, на которые я смотрел - eToken PASS (http://www.safenet-inc.com/multi-factor-authentication/authenticators/one-time-password-otp/etoken-pass/) требуется программное обеспечение, работающее в Windows, и у меня нет собственных серверов Windows, поэтому мне не подойдет. Кроме того, некоторые пользователи, использующие Outlook, не смогут пройти аутентификацию с помощью этого метода.
Более простой вариант: http://www.safenet-inc.com/multi-factor-authentication/authenticators/pki-usb-authentication/. По сути, это SSL-сертификат в USB-ключе. По-видимому, это работает с браузерами, а также с почтовыми клиентами и не требует дополнительного программного обеспечения для аутентификации. Есть ли у кого-нибудь опыт интеграции подобных устройств с Zimbra?
Другая проблема заключается в том, что мне нужна эта двухфакторная аутентификация только для ограниченного числа пользователей на сервере. Это вообще возможно?
Если вы используете etoken (pki-usb-authentication), вы, вероятно, выполните аутентификацию сертификата клиента в браузере. Для этого потребуется перенастроить сервер Apache для запроса сертификата клиента. И вот в чем проблема. Вы не можете определить, какой пользователь собирается пройти аутентификацию, до того как пользователь / браузер предоставил сертификат клиента. Таким образом, пользователи без токена / сертификата клиента не смогут легко пройти аутентификацию. Тем не менее, в таком решении вы можете зарегистрировать eToken в одной группе пользователей, а программные сертификаты - в другой группе пользователей.
Вы можете использовать eToken PASS в качестве генератора одноразовых паролей. EToken PASS также может быть зачислен, поэтому вам не нужно доверять продавцу и дистрибьютору. Вам следует взглянуть на карты дисплея smartdisplayer. Их нельзя посеять, но они действительно классные, так как у них есть дисплей для электронных писем, и они помещаются в вашу сумочку. В качестве другого аппаратного устройства вы можете взглянуть на Yubikey, который снова может быть засеян.
Поздравляю. У вас нет сервера Windows ;-) Так почему бы не использовать серверную часть аутентификации на основе Linux, например идея конфиденциальности? Что поддерживает все упомянутые токены.
Что касается Zimbra, то здесь снова две возможности.
A. Вы настраиваете свой веб-сервер так, чтобы вам нужно было выполнить двухфакторную аутентификацию, прежде чем перейти к экрану входа в систему Zimbra. Но в этом случае у вас могут возникнуть проблемы с приложениями на вашем смартфоне. (Что вы также столкнетесь с клиентскими сертификатами)
Б. Аутентифицируйте пользователя с помощью 2fa прямо в zimbra. Похоже на зимбру хоть поддерживает SAML. Вы можете настроить Privacyidea в качестве поставщика идентификационной информации SAML и Zimbra в качестве поставщика услуг. Пользователь аутентифицируется в IdP с двумя факторами, а затем входит в ZImbra. Недавно я написал руководство по настройка Privacyidea в качестве SAML IdP.
Надеюсь, это поможет в качестве отправной точки.