国家 / 地区

H3C SecPath A2000-G[AK][V]系列运维审计系统 典型配置举例(E6101 E6102 E6103 E6104)-5W104

04-TOTP令牌(动态令牌)配置举例

本章节下载  (287.60 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Typical_Configuration_Example/H3C_A2000-G[AK][V]_CE(E6101)-5W104/201905/1189377_30005_0.htm

04-TOTP令牌(动态令牌)配置举例

TOTP令牌(动态令牌)配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

TOTP是基于时间的一次性密码算法的简称。这个算法通过一个共享密钥和当前时间来计算一次性密码。经常被用于双因素认证的系统中。因为网络延时或者时钟没有完全同步的原因,一般生成一次密码,需要60秒的发送间隔。

2 配置前提

因为TOTP令牌与时间密切相关,所以在配置TOTP令牌前,请确保运维审计系统的时间与北京时间一致。

3 配置举例

3.1  组网需求

图3-1 TOTP令牌认证网络图

 

3.2  系统版本要求

适用产品版本:ESS 6101及以上版本。

3.3  新建TOTP认证方式

(1)       超级管理员,“策略配置 > 身份验证”,选择“totp”,点击“新建”。

图3-2 新建TOTP认证方式

 

(2)       修改属性

·            状态:选择为启用。

·            名称:填写此totp名称。

点击确定。

图3-3 修改属性

 

3.4  TOTP令牌管理

点击“设置”。

图3-4 TOTP令牌管理

 

3.4.1  单个令牌管理

1. 导入令牌

(1)       点击“新建”。

图3-5 导入令牌

 

(2)       输入对应的key和SN号码,点击“确定”。

图3-6 输入对应的key和SN号码

 

注:图中key值前面两位是小写的字母l,不是数字1

 

2. 令牌同步

方法一:

(1)       当令牌使用一段时间之后,可能由于时钟漂移,导致一次性密码产生错误,这时需要同步令牌。

选择相应令牌,点击“同步”。

图3-7 同步令牌

 

(2)       将令牌产生的两个一次性密码,依次填入“密码1”、“密码2”。

点击“同步”。

图3-8 输入密码

 

方法二:

(1)       页面右上角,进入“账户设置”

图3-9 账户设置

 

(2)       将令牌产生的两个一次性密码,依次填入“密码1”、“密码2”。

点击“同步”。

图3-10 输入密码

 

3.4.2  批量令牌管理

1. 批量导入令牌

(1)       点击“批量导入”。

图3-11 批量导入令牌

 

(2)       将key和SN号写入文本。

格式:13位SN + 一个空格 + 50位KEY。

图3-12 将key和SN号写入文本

 

(3)       导入该文本。

图3-13 导入文本

 

(4)       点击“确定导入”。

图3-14 确认

 

2. 批量同步令牌

(1)       点击“批量同步”。

图3-15 批量同步令牌

 

(2)       设置时钟漂移,然后点击确定。

图3-16 设置时钟漂移

 

3.4.3  PIN码策略

TOTP令牌不能单独作为验证工具,必须与另外的静态密码进行绑定,我们在运维审计系统中,将这个静态密码称为PIN码。

点击“PIN码策略”。

图3-17 PIN码策略

 

设置需要的PIN码复杂度。

图3-18 设置PIN码复杂度

 

3.5  创建用户,绑定TOTP令牌

“基本控制 > 用户账号 > 新建用户”。

图3-19 创建用户

 

·            登录名:登录运维审计系统的账户名。

·            真实姓名:该账户名的真实用户。

·            部门:选择相应的部门。

·            身份验证方式:这里选择之前配置的totp。

·            SN:选择需要绑定的令牌SN(一个令牌最多可以分配给5个用户使用)。

·            PIN1:用户登录时使用的静态密码。

·            PIN2:用户做双人授权时使用的静态密码。

图3-20 配置用户信息

 

3.6  TOTP使用

3.6.1  TOTP登录

输入账户、密码。

密码格式为:PIN1码+令牌数字

图3-21 TOTP登录

 

3.6.2  TOTP双人复核

密码:输入PIN2码+令牌。

图3-22 TOTP双人复核

 

3.6.3  TOTP修改PIN1、PIN2码

(1)       页面右上角,进入“账户设置”

图3-23 账户设置

 

(2)       输入:PIN1码+令牌

图3-24 PIN1码+令牌

 

(3)       切换到“自由修改密码”,修改PIN1、PIN2码。

图3-25 修改PIN1、PIN2码

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!