Linux/AIX/Freebsd配置DKEY动态口令认证，保护服务器本地/SSH/TELENT访问安全

ndkey

1、方案简介

       领先的动态密码解决方案提供商上海宁盾信息科技有限公司发布其《DKEY服务器动态口令认证解决方案》，网络管理员只需输入令牌上显示的每隔30/60秒变化一次的随机密码，即使被窃取，由于其一次使用有效的特点，也无法使用，虽然这不是一门新的技术，但是它是目前公认最有效的安全网管技术，DKEY支持为Linux、Unix（AIX、HP-UNIX、Saloris）、BSD服务器增加动态口令安全访问，有效解决密码失窃引起的服务器被非授权访问风险，同时节约密码管理成本。
      DKEY服务器动态口令认证解决方案目前是国内IDC、电商、电子政务行业部署最多的案例。

2、认证流程
2.1   系统登录
以root用户为例，用户名输入root：

在第一次提示输入密码时输入该用户的静态密码：

在第二次提示输入密码时输入该用户绑定的令牌的动态密码：


2.2   SSH
以root用户为例，连接SSH，在第一次提示输入密码时输入该用户的静态密码，在第二次提示输入密码时输入该用户绑定的令牌的动态密码：


3、 系统配置
3.1认证服务器
为了使DKEY动态口令能够保护类Unix系统，需要部署DKEY TMS认证服务器，并进行如下几步操作：
（1） 在认证服务器上创建和目标系统对应的账号
（2） 将账号与动态令牌建立绑定关系


3.2 Linux/AIX/BSD服务器
以AIX为例，安装PAM NDKEY。PAM NDKEY配置和使用方法与PAM RADIUS类似。
3.2.1   安装PAM NDKEY
解压缩pam_ndkey.tar:
tar xvf pam_ndkey.tar
将pam_ndkey拷贝至/lib/security/：


将pam_ndkey.conf拷贝至/etc/。
3.2.2  配置PAM NDKEY并启动PAM
编辑/etc/pam_ndkey.conf:



     其中“192.168.56.1”应为DKEY TMS服务器的地址，并设置DKEY TMS默认域的Default认证客户端密码，30为超时时间，建议配置为10~30秒，如果配置多个认证服务器建议配置10秒以下。

4     容灾
     当Linux/Unix服务器无法连接认证服务器或者认证服务器故障时，可以通过备用radius服务将认证方式回滚为静态密码登录。

5  SSH客户端配置
5.1  SecureCRT
选择一个session，打开属性窗口，配置“Login Actions”，勾选“Display login prompts in terminal window”:

配置SSH2的Authentication，仅选择“Keyboard Interactive”，去掉其它选项, 如果同时使用证书认证，请同时勾选“PublicKey”。