Aventail - 域账户和短信密码结合的双因子认证

Aventail - 域账户和短信密码结合的双因子认证

适用型号适用型号: :

: Aventail: SRA EX7000; SRA EX6000

固件/软件版本: 所有版本

概述概述: : :

短信密码认证是双因子认证的一种方式，在完成域账户认证之后，认证服务器会随机生成一个一次性的密码通过短信网关发送到用户手机上，用户需再次输入短信密码才能完成认证。这是域账户和短信密码的双重认证，因而能够很有效的保证账户信息的安全性。

以下我们将介绍如何将SonicWALL Aventail SSLVPN 和宁盾动态身份认证系统(第三方的认证系统)配合使用，完成对SSLVPN 登录用户的域账户加短信密码的双因子认证。

硬件准备硬件准备：：

1. 域认证服务器

2. 宁盾动态身份认证系统（包括宁盾认证系统和短信网关）

工作原理工作原理：：

第一步：用户输入域账户和密码登录Aventail SSLVPN 设备

第二步：Aventail SSLVPN 设备通过Radius 协议转发域账户信息至宁盾认证系统进行认证 第三步：宁盾认证系统通过Radius 或者LDAP 协议转发域账号信息至域认证服务器进行域账户查询

第四步： 域账户返回认证结果给宁盾认证系统

第五步：如果认证成功，宁盾认证系统则会通知Aventail SSLVPN 设备等待新口令输入 第七步： 短信网关则会把短信密码发送至用户手机

第八步： 用户再次输入短信密码，登录成功

配置配置：：

1. Aventail 配置

在Authentication Server 中新建一个Radius 的认证类型。Radius Server 的地址填写宁盾认证系统的IP 地址，端口号是18121812；Shared secret Shared secret 保持和宁盾系统上的shared secret 一致。Match RADIUS groups by Match RADIUS groups by 选择 filterid att filterid att filterid attribute(11)ribute(11)ribute(11)

创建一个基于短信认证的Realm

2. 宁盾认证系统配置

在宁盾中配置需要查询的AD域服务器信息。需填写域服务器地址，端口号，根，用户名和密码，标示字段等。

配置完后，就能读到AD认证服务器上相应的组信息

3. AD域服务器配置

在Administrative Tools>Active Directory Users and Computers中，添加域账户。需注意的是，需要在Telephones那页中，填入用户的手机号码，用于接收短信密码。没有其他特殊配置。