我一直在寻找与 Zimbra 开源版本配合良好的双因素身份验证。
我看过的产品之一——eToken PASS(http://www.safenet-inc.com/multi-factor-authentication/authenticators/one-time-password-otp/etoken-pass/) 需要在 Windows 上运行的软件,而我内部没有任何 Windows 服务器,因此对我来说不起作用。此外,一些使用 Outlook 的用户将无法使用此方法进行身份验证。
更直接的选择是:http://www.safenet-inc.com/multi-factor-authentication/authenticators/pki-usb-authentication/。这基本上是 USB 密钥中的 SSL 证书。显然,它适用于浏览器和电子邮件客户端,并且不需要任何额外的后端软件进行身份验证。有没有人有将类似设备与 Zimbra 集成的经验?
另一个问题是,我只需要对服务器上有限数量的用户进行双重身份验证。这可能吗?
答案1
如果您使用 etoken (pki-usb-authentication),您可能会在浏览器中进行客户端证书身份验证。这需要重新配置 Apache 服务器以要求客户端证书。这就是问题所在。在用户/浏览器提供客户端证书之前,您无法确定哪个用户即将进行身份验证。因此,没有令牌/客户端证书的用户将无法轻松进行身份验证。然而,在这样的解决方案中,您可以将 eToken 注册到一个用户组,将软证书注册到另一个用户组。
您可以使用 eToken PASS 作为一次性密码生成器。eToken PASS 也可以进行播种,因此您无需信任供应商和分销商。您应该看看智能显示器显示卡。这些卡无法进行播种,但非常酷,因为它们具有电子纸显示屏,可以放入您的钱包。作为另一种硬件设备,您可以看看 Yubikey,它也可以进行播种。
恭喜。你没有 Windows 服务器 ;-) 那么为什么不使用基于 Linux 的身份验证后端呢隐私理念? 支持所有提到的令牌。
就 Zimbra 而言,又存在两种可能性。
答:您配置了 Web 服务器,因此在进入 Zimbra 登录屏幕之前需要进行双重身份验证。但在这种情况下,您的智能手机应用程序可能会出现问题。(您在使用客户端证书时也会遇到同样的问题)
B. 仅在 Zimbra 内使用 2fa 对用户进行身份验证。至少看起来像 Zimbra支持 SAML。您可以将 privacyidea 设置为 SAML 身份提供商,将 Zimbra 设置为服务提供商。用户使用两个因素向 IdP 进行身份验证,然后登录 ZImbra。最近我写了一篇关于将 privacyidea 设置为 SAML IdP。
希望这有助于作为一个起点。