第1章 项目背景
随着互联网的快速发展和信息化程度的不断提高,互联网深刻影响着政治、经济、文化等各个方面,保障信息安全的重要性日益凸显,加强对互联网上各类信息的管理应引起高度重视。
中信科为保证Emm系统登录弱密码问题,希望在当前解决方案的前提之上,增加宁盾双因素认证解决方案,在原有账号密码基础上提升账号安全,从而保障企业信息安全。
第2章 需求分析
中信科随着企业应用系统的实施,重要的数据和信息在网络中传输也也来越多,安全性要求也越来越重要,企业员工在每次登录Emm系统时,只需要简单输入账号、密码,当此密码泄露后,很容易引发信息安全事故。
为应对以上弱密码问题,我们加入了宁盾双因素认证系统。宁盾双因素认证系统在输入账号后,需要输入的静态密码前缀,然后输入宁盾的动态密码,在静态密码和动态密码都验证正确后,才可登录相关应用系统,因此,即使客户静态密码前缀泄露后,没有与之相匹配的动态密码也无法登录系统,从而加强了客户的信息安全。
第3章 实施方案
根据前期调研及需求分析,现设计整体方案如下:
3.1 EMM业务
- 用户登陆Emm系统,用户在Emm系统输入用户身份信息,密码为静态密码方式;
- 宁盾服务器将收到Emm系统转发过来的RADIUS协议认证信息,将静态密码部分提交到AD上面去认证(如果是宁盾本地账号则直接认证),如果认证成功,将执行下面步骤;
- 宁盾服务器向Emm系统发送Challenge报文;
- Emm系统将收到Challenge报文并输入动态密码,发送动态密码到宁盾服务器
- 宁盾服务器收到动态密码,验证动态密码是否正确,并告知EMM系统验证结果。
备注:
1)、在帐号相同的情况下,同时启用了本地和外部数据源,宁盾系统将优先处理本地帐号,其次才是外部数据源;
2)、为简便操作复杂度,第2步也可直接输入静态密码+动态密码进行验证,具体看用户需求;
3)、动态密码的产生可以通过3种途径:短信令牌(如图示)、硬件令牌、手机APP令牌,具体详情请参考后续章节产品介绍。
第4章 测试步骤
4.1 认证服务器部署
在认证平台新建站点,双因素认证里添加设备,类型选择通用,设备地址以及共享密钥(注:共享密钥要与Windows插件配置的一致)其详细步骤如下:
4.1.1 添加站点
4.1.2 添加设备
4.1.3 导入AD域用户源
4.1.4 添加策略
4.1.5 选择认证数据源
4.1.6 开启动态密码(默认关闭AM静态密码)
4.1.7 派发软件令牌
4.1.8 用户使用宁盾APP激活令牌
4.1.9 使用邮件批量派发令牌
4.1.10 邮件派发令牌模板设定
4.1.11 针对用户组点击派发令牌
4.1.12 Windwos插件设置
第5章 双因素登录认证测试
验证分为三种:
- 用户使用宁盾令牌登录成功,宁盾后台的登录认证显示用户源且提示登录成功
- 用户绑定了宁盾令牌,如果使用宁盾令牌登录,宁盾后台会显示用户源且提示登录成功
测试步骤
- 测试用户, 输入AD域帐号或本地账号
- 请输入动态密码
- 批量邮件派发令牌
- Core双因素登录
- Emm双因素登录
- Windows双因素登录
第2章 测试结果
Pc端用户登录Emm测试
6.1.2 手机端登录Emm测试
6.1.3 Windows登录测试
6.1.4 Coremail登录测试
注:Coremail登录双因素测试使用的是较低版本测试版本号XT5.0.5。
6.1.5 测试成功后查看登陆日志
Coremail日志
Emm日志
Windows日志
6.1.6 查看令牌绑定信息
6.1.7 查看邮件派发的令牌信息
通过本次测试,完成以下测试内容:
- 同步AD用户成功
- 邮件批量派发手机令牌成功
- 登录Emm Pc平台成功
- 登录Emm手机平台成功
- Windows双因素登录成功
- Coremail双因素登录成功(注:Coremail登录双因素测试使用的是较低版本测试。版本号0.5)
来源:freebuf.com 2020-12-01 17:21:26 by: 宁盾nington
请登录后发表评论
注册