我想为我的无线用户设置双因素身份验证。
我有一台 Windows NPS 服务器,目前正在对我的无线用户进行身份验证,并且我想添加证书或任何其他第二因素进行身份验证。
Microsoft NPS 支持证书,但我看不到强制用户使用用户名/密码和证书进行身份验证的方法。
只能是其中之一。例如,我可以将服务器配置为使用证书或用户名/密码身份验证。
有什么办法可以强制使用两种方法吗?
或者可能还有其他免费/便宜的方法来为无线用户配置 2FA。我相信可以使用 freeradius 和 Google 身份验证,但在这种情况下用户将在哪里输入 OTP?
谢谢,罗曼
答案1
您可以使用隐私理念与 NPS 结合使用。注意:您需要 privacyIDEA 和 FreeRADIUS 服务器。NPS 会将请求转发给 FreeRADIUS。
privacyIDEA 可以管理知识因素和所有权因素。第二个因素可以是任何类型的 OTP 令牌,如智能手机应用程序(Google Authenticator 或 FreeOTP、硬件令牌、Yubikey……)
这是一个使用 FreeRADIUS 和 privacyIDEA 配置 NPS 的集成指南。
OTP 与密码一起输入(不一定是 Windows 密码 - 可以是):
- 进入用户名
- 进入<密码><OTP>