7.3. 在 Web UI 中启用一次性密码


身份管理(IdM)管理员可以全局或单独为 IdM 用户启用双因素身份验证(2FA)。用户在命令行或者 Web UI 登录对话框中的专用字段中的常规密码之后输入一次性密码(OTP),在这些密码之间没有空格。

启用 2FA 与强制执行 2FA 不同。如果您使用基于 LDAP-binds 的登录,IdM 用户仍可以只通过输入密码来进行身份验证。但是,如果您使用基于 krb5 的登录,则强制使用 2FA。

请注意,可以通过对所有 LDAP 客户端强制使用 OTP 来强制为 LDAP-binds 强制 2FA。如需更多信息,请参阅 强制 all LDAP 客户端使用 OTP

在以后的发行版本中,红帽计划为管理员提供一个选择以下内容之一的配置选项:

  • 允许用户设置自己的令牌。在这种情况下,LDAP-binds 仍然不会强制执行 2FA,虽然基于 krb5 的登录会强制执行 2FA。
  • 不允许用户设置自己的令牌。在这种情况下,在 LDAP-binds 和基于 krb5 的登录中都会强制执行 2FA。

完成此流程,以使用 IdM Web UI 为单独的 example.user IdM 用户启用 2FA。

先决条件

  • 管理特权

流程

  1. 使用 IdM admin 权限登录到 IdM Web UI。
  2. 打开 Identity Users Active users 选项卡。

    A screenshot of the IdM Web UI displaying the "Active Users" page which is a sub-page of the Users submenu from the Identity tab.

  3. 选择 example.user 以打开用户设置。
  4. User authentication types 中,选择 Two factor authentication (password + OTP)
  5. 点击 Save

此时,为 IdM 用户启用了 OTP 身份验证。

现在,您或 example.user 必须向 example.user 帐户分配一个新的令牌 ID。

警告

截止到 2024 年 9 月,在 RADIUS 协议中存在一个 CVE-2024-3596 漏洞。在 IdM 的上下文中,使用 RADIUS/TLS 或 RADIUS/DTLS 响应 CVE 不是一个选项,因为 IdM 只支持 UDP 上的 RADIUS。要临时解决这个问题,使用例如在 IdM 服务器和策略管理平台实例旁边的可信系统之间的一个点对点 VPN,在 IdM 服务器和您的策略管理平台实例之间创建一个安全通道。然后,确保通过 VPN 路由,封装了到远程 RADIUS 服务器连接的流量。另外,配置 RADIUS 服务器,以接受来自没有 Message-Authenticator 属性的 RHEL IdM 的请求。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.