监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 2157|回复: 0
打印 上一主题 下一主题

Linux/AIX/Freebsd配置DKEY动态口令认证,保护服务器本地/SSH/TELENT访问安全

[复制链接]

1

主题

1

帖子

23

积分

实习生

QQ
跳转到指定楼层
1
发表于 2012-8-3 14:39:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
1、方案简介

       领先的动态密码解决方案提供商上海宁盾信息科技有限公司发布其《DKEY服务器动态口令认证解决方案》,网络管理员只需输入令牌上显示的每隔30/60秒变化一次的随机密码,即使被窃取,由于其一次使用有效的特点,也无法使用,虽然这不是一门新的技术,但是它是目前公认最有效的安全网管技术,DKEY支持为Linux、Unix(AIX、HP-UNIX、Saloris)、BSD服务器增加动态口令安全访问,有效解决密码失窃引起的服务器被非授权访问风险,同时节约密码管理成本。
      DKEY服务器动态口令认证解决方案目前是国内IDC、电商、电子政务行业部署最多的案例。

2、认证流程
2.1   系统登录
以root用户为例,用户名输入root:

在第一次提示输入密码时输入该用户的静态密码:

在第二次提示输入密码时输入该用户绑定的令牌的动态密码:


2.2   SSH
以root用户为例,连接SSH,在第一次提示输入密码时输入该用户的静态密码,在第二次提示输入密码时输入该用户绑定的令牌的动态密码:


3、 系统配置
3.1认证服务器
为了使DKEY动态口令能够保护类Unix系统,需要部署DKEY TMS认证服务器,并进行如下几步操作:
(1) 在认证服务器上创建和目标系统对应的账号
(2) 将账号与动态令牌建立绑定关系


3.2 Linux/AIX/BSD服务器
以AIX为例,安装PAM NDKEY。PAM NDKEY配置和使用方法与PAM RADIUS类似。
3.2.1   安装PAM NDKEY
解压缩pam_ndkey.tar:
tar xvf pam_ndkey.tar
将pam_ndkey拷贝至/lib/security/:


将pam_ndkey.conf拷贝至/etc/。
3.2.2  配置PAM NDKEY并启动PAM
编辑/etc/pam_ndkey.conf:



     其中“192.168.56.1”应为DKEY TMS服务器的地址,并设置DKEY TMS默认域的Default认证客户端密码,30为超时时间,建议配置为10~30秒,如果配置多个认证服务器建议配置10秒以下。

4     容灾
     当Linux/Unix服务器无法连接认证服务器或者认证服务器故障时,可以通过备用radius服务将认证方式回滚为静态密码登录。

5  SSH客户端配置
5.1  SecureCRT
选择一个session,打开属性窗口,配置“Login Actions”,勾选“Display login prompts in terminal window”:

配置SSH2的Authentication,仅选择“Keyboard Interactive”,去掉其它选项, 如果同时使用证书认证,请同时勾选“PublicKey”。
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-18 13:55 , Processed in 0.137990 second(s), 28 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表