欢迎user
04-TOTP令牌(动态令牌)配置举例
本章节下载 (329.62 KB)
目 录
TOTP是基于时间的一次性密码算法的简称。这个算法通过一个共享密钥和当前时间来计算一次性密码。经常被用于双因素认证的系统中。因为网络延时或者时钟没有完全同步的原因,一般生成一次密码,需要60秒的发送间隔。
因为TOTP令牌与时间密切相关,所以在配置TOTP令牌前,请确保运维审计系统的时间与北京时间一致。
图1 TOTP令牌认证网络图
适用产品版本:ESS 6101及以上版本。
(1) 超级管理员,“策略配置 > 身份验证”,选择“totp”,点击“新建”。
图2 新建TOTP认证方式
(2) 修改属性
· 状态:选择为启用。
· 名称:填写此totp名称。
点击确定。
图3 修改属性
点击“设置”。
图4 TOTP令牌管理
(1) 点击“新建”。
图5 导入令牌
(2) 输入对应的key和SN号码,点击“确定”。
图6 输入对应的key和SN号码
注:图中key值前面两位是小写的字母l,不是数字1
方法一:
(1) 当令牌使用一段时间之后,可能由于时钟漂移,导致一次性密码产生错误,这时需要同步令牌。
选择相应令牌,点击“同步”。
图7 同步令牌
(2) 将令牌产生的两个一次性密码,依次填入“密码1”、“密码2”。
点击“同步”。
图8 输入密码
方法二:
(1) 页面右上角,进入“账户设置”
图9 账户设置
(2) 将令牌产生的两个一次性密码,依次填入“密码1”、“密码2”。
点击“同步”。
图10 输入密码
(1) 点击“批量导入”。
图11 批量导入令牌
(2) 将key和SN号写入文本。
格式:13位SN + 一个空格 + 50位KEY。
图12 将key和SN号写入文本
(3) 导入该文本。
图13 导入文本
(4) 点击“确定导入”。
图14 确认
(1) 点击“批量同步”。
图15 批量同步令牌
(2) 设置时钟漂移,然后点击确定。
图16 设置时钟漂移
TOTP令牌不能单独作为验证工具,必须与另外的静态密码进行绑定,我们在运维审计系统中,将这个静态密码称为PIN码。
点击“PIN码策略”。
图17 PIN码策略
设置需要的PIN码复杂度。
图18 设置PIN码复杂度
“基本控制 > 用户账号 > 新建用户”。
图19 创建用户
· 登录名:登录运维审计系统的账户名。
· 真实姓名:该账户名的真实用户。
· 部门:选择相应的部门。
· 身份验证方式:这里选择之前配置的totp。
· SN:选择需要绑定的令牌SN(一个令牌最多可以分配给5个用户使用)。
· PIN1:用户登录时使用的静态密码。
· PIN2:用户做双人授权时使用的静态密码。
图20 配置用户信息
输入账户、密码。
密码格式为:PIN1码+令牌数字
图21 TOTP登录
密码:输入PIN2码+令牌。
图22 TOTP双人复核
(1) 页面右上角,进入“账户设置”
图23 账户设置
(2) 输入:PIN1码+令牌
图24 PIN1码+令牌
(3) 切换到“自由修改密码”,修改PIN1、PIN2码。
图25 修改PIN1、PIN2码
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!