Я немного поискал и понял, что это возможно, но я не нашел ни малейшего понятия, как это сделать. Также могу ли я использовать любой работающий сервер или это должно быть что-то вроде сервера BlackShield от SafeNet?
Я ищу не то, как его разработать. Я ищу архитектурную модель или документ, который я не мог найти, о том, что ему нужно, и как интегрировать сервер аутентификации, независимо от того, был ли он разработан моей компанией или любой другой компанией. с окнами. проблема в том, что я не знаю, что искать. это должно быть с радиусом?
PS: Я разработчик, работаю над приложением AAA. У нас есть сервер для аутентификации.
Заменить пароль Windows на OTP невозможно. Еще одна сторонняя альтернатива - Rohos Logon. Разнообразие методов и политик: вы можете настроить конфигурацию OTP для каждого пользователя / группы, использовать OTP по SMS / электронной почте. Объедините токены OTP +, Yubikey OTP и Google Auth OTP. Зарегистрируйте OTP через PowerShell. Он позволяет заменять пароль на OTP (как метод 1FA), но при этом пароль будет использоваться в фоновом режиме кредитным провайдером Rohos, который работает на каждой рабочей станции, и сервером аутентификации OTP на расширениях схемы DOmain Controller + AD. Также поддерживаются автономные рабочие станции.
Существует старая концепция Microsoft, позволяющая серверу OTP регистрировать краткосрочный сертификат входа в систему для клиента Windows. Таким образом, пользователь в клиенте Windows фактически будет использовать PKINIT для получения своего билета Kerberos - используйте сертификат для входа в систему. https://technet.microsoft.com/de-de/library/gg637807(v=ws.10).aspx
Вам все еще нужно настроить CA. Сервер OTP должен иметь возможность запрашивать сертификат от имени вошедшего в систему пользователя ...
Таким образом, это часто реализуется по-другому. Также решение, которое я разработал (!) и с которым работаю работает по-другому. На клиенте вы устанавливаете дополнительный поставщик учетных данных. В этом случае PrivacyIDEA Credential Provider сначала проверяет значение OTP на сервере privacyIDEA. Если это удается, поставщик учетных данных использует пароль Windows для выполнения обычного входа в домен на основе паролей Windows. Это работает довольно гладко, без настройки сложных сред - без PKI.
Недостатком такого подхода является то, что
Но с другой стороны, если вы собираетесь настроить свой CA / PKI, как предлагает Microsoft, почему бы в первую очередь не зарегистрировать смарт-карты? Отличное решение!
Я думаю, что есть новые концепции для OTP, мне любопытны другие ответы.