Yubikey-bryterapninger

Yubikey-bryterapninger h1>

Bruk integrert identitetsinformasjon for a opprette og administrere identiteter og kontrollere tilgang til bedriftsressurser. Vi tilbyr identitets- og tilgangshandtering, enkelt palogging (SSO), tilgangsstyring og mer.

Oppdag og reagere pa alle mulige trusler raskt og avgjorende. Ved a overvake brukeraktiviteter, sikkerhetsarrangementer og kritiske systemer, gir vi sikkerhetsinformasjon for a redusere risikoen for databrudd.

Fa et helhetlig syn pa IT-miljoet og forretningstjenestene. Vi integrerer serviceadministrasjon, applikasjonsbehandling og systemadministrasjon, for a forbedre ytelsen og tilgjengeligheten.

Les papiret AppManager moter driftssenter: leverer «alltid pa» IT-tjenester.

Fa rimelig, hoy ytelse katastrofegjenoppretting. Vare katastrofegjenopprettingslosninger tilbyr varmesikkerhetsgjenvinningshastigheter som ligner pa speiling, men til lave kostnader som ligner pa tape-sikkerhetskopiering.

Se na Serverkonsolidering og katastrofegjenoppretting i groftene: Real-world losninger pa hverdagens utfordringer.

Overfor arbeidsmengder og konsolidere servere raskt. Vi tilbyr forhandsanalyse og planlegging, og leverer automatiske, uovervaket hoyhastighets fysisk til virtuell (P2V) eller overalt hvor som helst arbeidsbelastning.

Sorg for hoy kvalitet pa tjenesten for din enhetlige kommunikasjon og VoIP. Vi tilbyr pre-distribusjon vurderinger, UC komponent overvaking, automatisert problem diagnostikk og analyse for konsistente resultater.

NetIQ-fellesskap.

Bruke Yubico YubiKey med eDirectory for tofaktorautentisering.

Siden versjon 8.8.6 eDirectory har stottet en ny NMAS-paloggingsmetode, er NMAS HOTP-metoden som den kalles.

Denne innloggingsmetoden brukes til a gi tofaktorautentisering ved hjelp av den utbredte OATH HOTP-standarden.

HOTP er en algoritme for a generere engangspassord (OTP) som er beskrevet i RFC 4226. Det er i utgangspunktet basert pa en felles hemmelig nokkel og en teller som er tilgjengelig bade for eDirectory og den OTP-genererende enheten som brukeren har .

Nar en bruker er HOTP aktivert, kan han / hun ikke lenger logge inn ved a bare bruke passordet, de ma ogsa legge til et engangspassord til sitt vanlige passord.

Hvis for eksempel passordet mitt er correcthorsebatterystaple og OTP er 342132 ma jeg skrive inn correcthorsebatterystaple342132 nar jeg logger pa.

Du kan lese om NMAS HOTP-metoden her.

Malet med denne artikkelen er a beskrive hvordan du kan bruke innloggingsmetoden NMAS HOTP sammen med YubiKey-maskinvaretoken fra Yubico.

YubiKey er et lite pute med en beroringsknapp som du kobler til USB-porten din, og den presenterer seg som operativsystemet som et tastatur.

Ved a trykke pa knappen pa YubiKey genereres et engangspassord som vi kan bruke med eDirectory for a forbedre innloggingssikkerheten.

Det er to deler a gjore dette arbeidet, forst ma du ha et YubiKey-token.

For det andre ma du ha innloggingsmetoden NMAS HOTP installert og konfigurert pa serverens side.

I denne artikkelen vil jeg beskrive hvordan du konfigurerer tofaktorautentisering med eDirectory versjon 8.8.7 som kjorer pa SUSE Linux Enterprise Server 11.

Sa langt jeg kan fortelle HOTP-paloggingsmetoden og skjemautvidelsen, kommer allerede med eDirectory 8.8.7, sa vi trenger bare a konfigurere det.

Konfigurasjonen er gjort ved hjelp av & # 8220; nmashotpconf & # 8221; verktoy som kan lastes ned her: http://download.novell.com/Download?buildid=BfnNcVX8U_I.

Last ned filen til eDirectory-serveren din og pakk den ut.

Du far to ZIP-filer, pakker ut den som heter & # 8220; nmashotpconf.zip & # 8221 ;.

Kontroller at eDirectory-serverne har NMAS-login aktivert i henhold til forutsetningene i dokumentasjonen.

For vi fortsetter med delen der vi konfigurerer HOTP-innloggingsmetoden, konfigurerer vi var YubiKey.

YubiKey kan administreres ved hjelp av YubiKey personliseringsverktoyet som du kan laste ned her: http://www.yubico.com/products/services-software/personalization-tools/

Sett inn YubiKey i datamaskinens USB-port og start verktoyet.

Klikk pa & # 8220; OATH-HOTP & # 8221; og deretter pa & # 8220; Avansert & # 8221 ;.

YubiKey har to konfigurasjoner & # 8220; spor & # 8221; for a lagre to konfigurasjoner samtidig, kan man for eksempel brukes til OTP og den andre for utfordringsrespons for eksempel. Jeg bruker spor 2 sammen med Password Safe-verktoyet.

I dette eksemplet vil jeg bruke & # 8220; Konfigurasjon Slot 1 & # 8221 ;.

Under & # 8220; OATH-HOTP Parameters & # 8221; Jeg vil gjore disse endringene:

Fjern merket for OT-Token-identifikator.

HOTP Lengde: 6 sifre.

Moving Factor Seed: Fast null.

Secret Key (20 bytes Hex): Klikk Generer, velg den hemmelige nokkelen, kopier og lagre den, vi trenger det senere.

Nar du er ferdig, klikk pa & # 8220; Skriv konfigurasjon & # 8221; for a lagre endringene til YubiKey.

YubiKey Personalization Tool.

Na som vi har konfigurert YubiKey, fortsetter vi a konfigurere NMAS login-metoden.

For formalet med denne artikkelen vil vi HOTP aktivere bare ett brukerobjekt i eDirectory.

I henhold til NMAS HOTP-paloggingsmetodokumentasjonen ma vi utfore disse trinnene:

Aktiver HOTP pa bruker / container / partisjonrot / Innloggingspolitikkobjekt i samme rekkefolge som forrang. Sett HOTP-delt hemmelig nokkel og teller pa brukeren. Disse to innstillingene bestemmer sammen HOTP-verdien. Konfigurer antall siffer i HOTP-verdier pa bruker / beholder / partisjonrot / Innloggingspolitikkobjekt. Det gyldige spekteret av siffer er fra 6 til 9. Sett resynkroniseringsvinduene pa folgende mate: Sett inn vinduet for trehjemsynkronisering pa nytt ved innloggingspolitikken gjenstand. Sett inn det brukerspesifikke resynkroniseringsvinduet pa brukerniva. Dette behoves bare nar klienten og serveren er ute av synkronisering.

Vi vil oppna disse oppgavene med nmashotpconf-verktoyet.

Verktoyet kobles til eDirectory ved hjelp av LDAPS og trenger det palitelige rotcertifikatet for LDAP-server sertifikatet som en DER- eller B64-fil for a kunne koble til.

Pass pa at du har den pa serveren der du kjorer verktoyet, hvis ikke eksporter den fra eDirectory ved hjelp av iManager, og legg den pa serveren.

Ved a kjore verktoyet nmashotpconf far du litt grunnleggende hjelp, for mer informasjon vennligst les dokumentasjonen.

I dette eksemplet vil jeg forst se fremovervinduet, i eksemplene vi kan se at 6 er satt, vil du ikke at tallet skal v re for stort eller for lite heller.

Hvor stor det skal v re, avhenger av miljoet ditt og hvor mange engangspassord du planlegger a generere uten a logge inn pa & # 8230;

Vinduet fremover vises ved hjelp av:

Det forste paret av bryterne er lett forstatt, sa jeg vant ikke a forklare dem, -e er banen til det klarerte rotcertifikatet og -t er typen av sertifikatet og -r er fremtidsvinduet.

Kommandoen ovenfor vil oppdatere cn = Logg inn policy, cn = Sikkerhetsobjekt og angi verdien til sasOTPLookAheadWindow attributtet til 6.

Deretter onsker vi a aktivere HOTP-login pa et brukerobjekt. Dette kan gjores ved hjelp av denne kommandoen:

Dette krever litt forklaring.

-d 6 = Angir antall siffer som brukes som HOTP-verdien. Husk at vi brukte 6 siffer som HOTP lengden nar vi konfigurerte YubiKey? Vi vil ha samme lengde her. Denne bryteren vil angi sasOTPdigits-attributtet.

-c 0 = Verdien av telleren, den er den samme som pa YubiKey, i dette tilfellet vil vi ga med 0. Denne bryteren vil angi sasOTPCounter-attributtet.

-u cn = newadmin, o = acme = Malet for denne operasjonen, i dette tilfellet brukeren vi vil aktivere HOTP for.

-f RAW = Forteller verktoyet som formaterer den hemmelige nokkelen som er angitt etter at -bryteren er inne. RAW er den heksadesimale verdien fra var YubiKey-tilpassingsverktoy som vi kopierte og lagret.

-s f058bf3e55473729ea7261c763d14bdf529948d3 = Husk den hemmelige nokkelverdien fra personliggjoringsverktoyet som vi kopierte? Dette er det, uten mellomrom. Attributtene sASLoginSecret og sASLoginSecretKey er oppdatert.

-o ENABLE = Aktiverer HOTP for brukeren, setter sasOTPEnabled-attributtet til SANT.

Hvis alt er riktig konfigurert, bor vi na kunne logge inn ved hjelp av NCP eller LDAP ved hjelp av var YubiKey. Det gode her er at ingenting pa klientsiden endres, brukeren har fortsatt den samme brukergrensesnittopplevelsen som uten HOTP.

Jeg vil teste NCP-login direkte pa eDirectory-serveren ved hjelp av ndslogin. Du kan ogsa teste NCP-paloggingen ved hjelp av iMonitor eller iManager, men sjekk dokumentasjonen pa iManager forst, den krever en oppdatert libnmasclnt.so-fil.

Forst setter jeg SSH inn i serveren og kjorer deretter kommandoen ndslogin.

Paloggingen mislykkes som den burde: mislyktes, mislyktes godkjenning (-669)

For du trykker pa enter etter a ha tastet inn kommandoen ndslogin, ma jeg trykke pa knappen pa YubiKey slik at den genererer et engangspassord, sa etter at du har trykket pa YubiKey ser kommandolinjen ut slik:

Som standard vil YubiKey ogsa sende inn direkte etter OTP-verdien.

Testing av LDAP-innlogging handler bare om a bruke din favoritt LDAP-nettleser og berore YubiKey etter at du har skrevet inn passordet ditt slik at det kan legge til OTP-verdien.

Ved a bruke HOTP kan vi enkelt oke sikkerheten til vare kontoer, spesielt vare administrative kontoer.

Du ma v re registrert medlem for a rangere dette innlegget.

Ansvarsfraskrivelse: Som med alt annet pa NetIQ Cool Solutions, er dette innholdet definitivt ikke stottet av NetIQ, sa kundesupport kan ikke hjelpe deg dersom det har noen negativ innvirkning pa miljoet ditt. Det jobbet bare for minst en person, og kanskje det vil v re nyttig for deg ogsa. Pass pa a teste i et ikke-produksjonsmiljo.