openVPN使用ldap认证

注意：客户端也可以使用证书和用户名密码双认证，证书我们可以所有用户使用统一的client证书，用户名使用ldap认证

如果不想每次登陆open***都是用用户名密码，请查看我前面所写的文章

用户是指访问网络资源的主提，表示“谁”在进行访问，是网络访问行为的重要标识。

用户分类：

上网用户

内部网络中访问网络资源的主体，如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。

接入用户

外部网络中访问网络资源的主体，如企业的分支机构员工和出差员工。接入用户需要先通过SSL ***、L2TP ***、IPSec ***或PPPoE方式接入到FW，然后才能访问企业总部的网络资源。

管理用户

认证分类：

防火墙通过认证来验证访问者的身份，防火墙对访问正进行的认证方式有：

本地认证

访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上存储了密码，验证过程在FW上进行，该方式称为本地认证。

服务器认证（Radius，LDAP等）

访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上没有存储密码，FW将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行，该方式称为服务器认证。

RADIUS（Remote Authentication Dial In User Service）、HWTACACS（HuaWei Terminal Access Controller Access Control System）、AD、LDAP（Lightweight Directory Access Protocol）认证服务器，并在认证服务器上存储了用户/组和密码等信息。对于RADIUS、HWTACACS服务器，管理员需要根据现有的组织结构，在FW上手动创建或者使用文件批量导入相应的用户/组。对于AD或LDAP服务器，管理员可以将AD或LDAP服务器中的用户信息导入到FW上，以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

单点登录

访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不参与认证过程，该方式称为单点登录（Single Sign-On）。

短信认证

访问者通过Portal认证页面获取短信验证码，然后输入短信验证码即通过认证。FW通过校验短信验证码认证访问者。

认证的目的：

在FW上部署用户管理与认证，将网络流量的IP地址识别为用户，为网络行为控制和网络权限分配提供了基于用户的管理维度，实现精细化的管理：

基于用户进行策略的可视化制定，提高策略的易用性。基于用户进行威胁、流量的报表查看和统计分析，实现对用户网络访问行为的追踪审计。解决了IP地址动态变化带来的策略控制问题，即以不变的用户应对变化的IP地址。上网用户访问网络的认证方式：

免认证：

FW通过识别IP/MAC和用户的双向绑定关系，确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。

会话认证：

当用户访问HTTP业务时，FW向用户推送认证页面，触发身份认证。

一般指的都是本地认证） ----内置Portal认证

先发起HTTP/HTTPS业务访问-------防火墙推送重定向认证页面-----------客户输入用户名和密码----------认证成功，如果设置跳转到最近的页面，就跳转。如果没有设置跳转，就不跳转

事前认证

当用户访问非HTTP业务时，只能主动访问认证页面进行身份认证。

单点认证

AD单点登录：企业已经部署了AD（Active Directory）身份验证机制，AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到FW。对于AD服务器上新创建的用户信息，还可以按照一定的时间间隔定时导入。以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。

认证时，由AD服务器对访问者进行认证，并将认证信息发送至FW，使FW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后，就可以直接访问网络资源，无需再由FW进行认证，这种认证方式也称为“AD单点登录”。

Agile Controller单点登录

RADIUS单点登录

RADIUS认证原理：

图：旁路模式下RADIUS单点登录示意图

RADIUS单点登录交互过程如下:

访问者向接入设备NAS发起认证请求。

NAS设备转发认证请求到RADIUS服务器，RADIUS服务器对用户账号和密码进行校验，并将认证通过的结果返回给NAS设备。NAS设备向RADIUS服务器发送计费开始报文，标识用户上线。

FW解析计费开始报文获取用户和IP地址的对应关系，同时在本地生成在线用户信息。不同部署方式，FW获取计费开始报文的方式不同：

直路：FW直接对经过自身的RADIUS计费开始报文进行解析。

旁路：NAS设备向RADIUS服务器发送计费开始报文的同时还会向FW发送一份，FW对计费开始报文进行解析并对NAS设备做出应答。

此种部署方式需要NAS设备支持向FW发送计费开始报文的功能。

镜像引流：NAS设备和RADIUS服务器之间交互的计费开始报文不经过FW，需要通过交换机镜像或分光器分光的方式复制一份计费开始报文到FW。FW对计费开始报文进行解析后丢弃。

访问者注销时，NAS设备向RADIUS服务器发送计费结束报文，标识用户下线。FW获取计费结束报文并解析用户和IP对应关系，然后删除本地保存的在线用户信息，完成注销过程。

另外在用户在线期间，NAS设备还会定时向RADIUS服务器发送计费更新报文维持计费过程，FW获取计费更新报文后将刷新在线用户的剩余时间。

接入用户访问网络资源的认证方式：

使用SSL *** 技术

访问者登录SSL ***模块提供的认证页面来触发认证过程，认证完成后，SSL ***接入用户可以访问总部的网络资源。

使用IPSec ***技术

分支机构与总部建立IPSec ***隧道后，分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程，认证完成后，IPSec ***接入用户可以访问总部的网络资源。

L2TP ***接入用户

用户认证原理用户组织结构：

用户是网络访问的主体，是FW进行网络行为控制和网络权限分配的基本单元。

认证域：用户组织结构的容器。区分用户，起到分流作用

用户组/用户：分为： 父用户组 子用户组 。

注意：一个子用户组只能属于一个父用户组

用户： 必配： 用户名 密码，其它都可以可选

用户属性：账号有效期 允许多人登录 IP/MAC绑定（不绑定 单向 双向）

安全组：横向组织结构的跨部门群组。指跨部门的用户

规划树形组织结构时必须遵循如下规定：default认证域是设备默认自带的认证域，不能被删除，且名称不能被修改。设备最多支持20层用户结构，包括认证域和用户，即认证域和用户之间最多允许存在18层用户组。每个用户组可以包括多个用户和用户组，但每个用户组只能属于一个父用户组。一个用户只能属于一个父用户组。用户组名允许重名，但所在组织结构的全路径必须确保唯一性。用户和用户组都可以被策略所引用，如果用户组被策略引用，则用户组下的用户继承其父组和所有上级节点的策略。用户、用户组、安全的来源：手动配置CSV格式导入（批量导入）服务器导入设备自动发现并创建在线用户：

用户访问网络资源前，首先需要经过FW的认证，目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户，FW还会检查用户的属性（用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录），只有认证和用户属性检查都通过的用户，该用户才能上线，称为在线用户。

FW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系，对用户实施策略，也就是对该用户对应的IP地址实施策略。

用户上线后，如果在线用户表项超时时间内（缺省30分钟）没有发起业务流量，则该用户对应的在线用户监控表项将被删除。当该用户下次再发起业务访问时，需要重新进行认证。

管理员可以配置在线用户信息同步，查看到已经通过认证的在线用户，并进行强制注销、全部强制注销、冻结和解冻操作。

用户认证总体流程：

图：认证流程示意图认证策略:

认证策略用于决定FW需要对哪些数据流进行认证，匹配认证策略的数据流必须经过FW的身份认证才能通过。

缺省情况下，FW不对经过自身的数据流进行认证，需要通过认证策略选出需要进行认证的数据流。

如果经过FW的流量匹配了认证策略将触发如下动作：

会话认证：访问者访问HTTP业务时，如果数据流匹配了认证策略，FW会推送认证页面要求访问者进行认证。事前认证：访问者访问非HTTP业务时必须主动访问认证页面进行认证，否则匹配认证策略的业务数据流访问将被FW禁止。免认证：访问者访问业务时，如果匹配了免认证的认证策略，则无需输入用户名、密码直接访问网络资源。FW根据用户与IP/MAC地址的绑定关系来识别用户。单点登录：单点登录用户上线不受认证策略控制，但是用户业务流量必须匹配认证策略才能基于用户进行策略管控。

认证匹配依据：

源安全区域、目的安全区域、源地址/地区、目的地址/地区。

注意：认证策略在匹配是遵循从上往下的匹配策略。

缺省情况下，FW通过8887端口提供内置的本地Portal认证页面，用户可以主动访问或HTTP重定向至认证页面（https://接口IP地址:8887）进行本地Portal认证。

在线用户信息同步功能的服务端口，缺省值是8886。

用户认证配置思路会话认证配置思路：第一步： 基本配置（通信正常） 第二步：新建用户（供本地认证使用） 第三步：认证选项设置重定向跳转到最近的页面 注意：要点应用 第四步：默认重定向的认证端口为8887，需要放行安全策略 ip service-set authro_port type object service 0 protocol tcp source-port 0 to 65535 destination-port 8887 sec-policy rule name trust_loacl source-zone trust destination-zone local service authro_port action permit 第五步：配置认证策略 auth-policy rule name trust_untrust source-zone trust destination-zone untrust source-address 10110 mask 2552552550 action auth -------------------默认不认证，修改为认证 第六步：检查 成功以后必须要有在线用户 12345678910111213141516171819202122232425262728291234567891011121314151617181920212223242526272829免认证配置思路：配置： auth-policy rule name no_auth source-zone trust destination-zone untrust source-address 10112 mask 255255255255 action no-auth 12345671234567AD单点登录配置流程：

插件

Server服务器部分

第一步：安装AD域

第二步：安装DNS服务器----配置转发器

第三步：下载AD SSO（在防火墙下载）

第四步：AD域新建组织单元，新建组，新建用户（关联权限）

第五步：PC 加域（DNS修改为服务器地址）

第六步：安装AD SSO (建议安装二次AD SSO）

联动AD域联动FW

第七步：组策略配置登录和注销脚本

调用AD SSO产生的login

格式;

服务器地址 运行端口（AD SSO是一样） 0/1 设置密钥（Huawei@123）

第八步：PC刷新组策略

防火墙部分

第一步：新建防火墙与AD服务器联动

第二步：新建认证域

第三步：把AD服务器用户导入FW ，新建导入策略

第四步： 修改认证域新用户，新用户调用导入策略

第五步：导入用户，到用户列表检查

第六步：配置认证策略

Trust区域到服务器区域（DMZ）不能做认证

第七步：配置安全策略，匹配条件只能是AD域的用户

注意：

FW本地到AD服务器的安全策略

AD服务器到FW本地安全策略

DNS的策略

检查：

一定要看到在线用户-----采用单点登录

参考文档：华为HedEx防火墙文档。

1 LDAP入门

11 定义

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，LDAP标准实际上是在X500标准基础上产生的一个简化版本。

12 目录结构

LDAP也可以说成是一种数据库，也有client端和server端。server端是用来存放数据，client端用于操作增删改查等操作，通常说的LDAP是指运行这个数据库的服务器。只不过，LDAP数据库结构为树结构，数据存储在叶子节点上。

因此，在LDAP中，位置可以描述如下

因此，苹果redApple的位置为

dn标识一条记录，描述了数据的详细路径。因此，LDAP树形数据库如下

因此，LDAP树形结构在存储大量数据时，查询效率更高，实现迅速查找，可以应用于域验证等。

13 命名格式

LDAP协议中采用的命名格式常用的有如下两种：LDAP URL 和X500。

任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录，LDAP名不像普通的Internet URL名字那么直观，但是LDAP名往往隐藏在应用系统的内部，最终用户很少直接使用LDAP 名。LDAP 名使用X500 命名规 范，也称为属性化命名法，包括活动目录服务所在的服务器以及对象的属性信息。

2 AD入门

21 AD定义

AD是Active Directory的缩写，AD是LDAP的一个应用实例，而不应该是LDAP本身。比如：windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题，只是AD顺便还提供了用户接口，也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库，微软自己在库中建立了几个表，每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的，而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口，用户可以利用这些接口写程序操作LDAP，使得ActiveDirectory也成了一个LDAP服务器。

22 作用

221 用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机，服务器等。

222 计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。

223 资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

224 应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软CRM&ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

225 客户端桌面管理

系统管理员可以集中的配置各种桌面配置策略，如：用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。

23 AD域结构常用对象

231 域(Domain)

域是AD的根，是AD的管理单位。域中包含着大量的域对象，如：组织单位(Organizational Unit)，组(Group)，用户(User)，计算机(Computer)，联系人(Contact),打印机，安全策略等。

可简单理解为：公司总部。

232 组织单位(Organization Unit)

组织单位简称为OU是一个容器对象，可以把域中的对象组织成逻辑组，帮助网络管理员简化管理组。组织单位可以包含下列类型的对象：用户，计算机，工作组，打印机，安全策略，其他组织单位等。可以在组织单位基础上部署组策略，统一管理组织单位中的域对象。

可以简单理解为：分公司。

233 群组(Group)

群组是一批具有相同管理任务的用户账户，计算机账户或者其他域对象的一个集合。例如公司的开发组，产品组，运维组等等。可以简单理解为分公司的某事业部。

群组类型分为两类:

234 用户(User)

AD中域用户是最小的管理单位，域用户最容易管理又最难管理，如果赋予域用户的权限过大，将带来安全隐患，如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。

域用户的类型，域中常见用户类型分为：

一个大致的AD如下所示：

总之：Active Directory =LDAP服务器 LDAP应用（Windows域控）。ActiveDirectory先实现一个LDAP服务器，然后自己先用这个LDAP服务器实现了自己的一个具体应用（域控）。

3 使用LDAP操作AD域

特别注意：Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异（同一个意思的表示字段，两者可能不同）。

连接ad域有两个地址：ldap://XXXXXcom:389 和 ldap://XXXXXcom:636（SSL）。

端口389用于一般的连接，例如登录，查询等非密码操作，端口636安全性较高，用户密码相关操作，例如修改密码等。

域控可能有多台服务器，之间数据同步不及时，可能会导致已经修改的数据被覆盖掉，这个要么域控缩短同步的时间差，要么同时修改每一台服务器的数据。

31 389登录

32 636登录验证（需要导入证书）

33 查询域用户信息

34 重置用户密码

35 域账号解锁

总结

PPTP拨号***，使用Windows域认证，如何设置？

将您的计算机设置为属于某个域，并在其中设置域名。

步骤:

右键单击桌面上的计算机-属性-(计算机名、域和工作组设置)-(计算机名)-(更改)；

选择[域]，输入域名，然后单击确定。

完成从属域名设置。

计算机域怎么设置？

1、首先确保电脑端能正常访问域服务器，可以PING一下，再修改电脑的DNS成域服务器IP。

2、打开网络连接，右击打开属性

3、进入TCP/IPV4的属性。

4、把DNS手动改成域服务器的IP地址。

5、右击我的电脑打开属性

6、在计算机名、域工作设置中点击更改设置，我这已经加入域，只介绍下具体的添加方法。

7、打开系统属性，点击更改按钮。

8、选择域，并输入在域服务器创建时的域的名称。点击确定，如果没有问题会弹出域管理员的帐号密码验证一下就完成加入了，重新一下电脑即完成。

计算机加入域有什么用？

有以下8点好处。

1、域账户可以在任意一台已经加入域的电脑上面登陆；

2、权限管理集中，管理成本下降域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理，所有用户登录到域会进行身份验证，可以更好的管理资源，降低网络管理的成本；

3、防止其他员工在客户端随意的安装软件，能够增强客户端的安全新，减少客户端故障，降低维护成本；

4、通过域管理可以有效的分发和指派软件、补丁等，实现网络内的一起安装，保证网络内软件的统一性；

5、可以根据域用户来确定可不可以上网，而不再需要根据IP地址，防止因为自己私自更改IP地址产生冲突；

6、可以封掉客户端的USB端口，防止公司机密资料外泄；

7、加强安全性能，有利于企业保密资料的管理，可以针对每一个人来设置公共盘的权限；

8、个人账户的工作文件及数据等存储在服务器上，统一进行备份、管理。在客户端出现故障的时候，只需要在其他安装软件的机器上面登陆就可以。

如何用python实现域认证？

可以安装python-ldap，使用ldap特性编程访问AD获取认证信息。

Windows10怎么加入域？

Windows10怎么加入域？

1、右键点击开始菜单，从右键菜单中选择“系统”；

2、在系统界面，找到“更改设置按钮”；

3、在弹出的窗口中继续点击“更改”按钮；

4、输入域服务器的地址（须由自己公司或组织的管理员提供），然后点击确定，一般会再弹出窗口要求输入域账号和密码，然后重新启动电脑使加域生效。

win10客户端同步域控时间如何设置？

其中某些设置已由组织隐藏或管理，导致无法更改本地时间。

这涉及到域中电脑的时间设置，因为在域中电脑的时间非常重要。它涉及到是否能够成功加入到域以及其它的一些设置。所以微软就将加入域的电脑的时间统一给管理了。

ActiveDirectory使用Kerberos进行身份验证。Kerberos要求域成员和域控制器（DC）具有同步时间。如果差异超过5分钟（默认值），则出于安全原因，客户端无法访问域资源。在加入域之前，请及时检查时间配置。

如果没有做任何的更改，在域中的电脑的时间会和域控制器同步，域控制器会和主域控制器同步。所以归根结底来说，所有在域中的电脑的时间都是来自主域控制器的时间。所以主域控制器的时间就显得非常重要了。

那如何设置主域控制器的时间呢。最好的办法是让它和时间服务器同步，如果主域控制器和外网是连通的，那么就让它和外网的时间服务器同步。如果和外网是断开的，那么就要在内网建立一个时间服务器NTP了。这里我们不讲如何建立时间服务器了。

下面来讲如何将主域控制器与我们建立的时间控制器同步。

我测试过，最简单最方便的方法就是使用命令设置

开始-运行-CMD

进入到命令行控制界面

输入如下命令

1w32tmexe/config/syncfromflags:manual/manualpeerlist:13110713100,0x8/reliable:yes/update

w32tmexe/config/update

上面的红色字体的，是你的时间服务器，其它的都不要改动。第一条是设置命令。第二条是生效命令。

设置后，如何查看命令是否生效呢

同样输入如下命令

w32tm/query/configuration

w32tm/query/source

AD、LDAP提供目录服务，即类似于企业、人员黄页的东西，用户和组织的信息都被存放在上面，查找起来十分快捷，也可以理解成一种特殊的数据库。

RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

（以下内容全部由外部资源总结）

验证方式

一、Basic：

http10的认证方法，需要提供用户名密码认证，并用base64进行编码，认证后才可访问，浏览器弹出登录窗口输入用户名后用base64进行编码，浏览器会在http报文头部加入base64编码内容，服务器解析出来并认证通过才可继续访问，

二、Digest：

主要是为了解决Basic模式的安全问题，用来替代Basic模式采用了response认证模式，依旧弹出对话框输入用户名密码，会对：用户名、密码、http请求方法、被请求资源的url 进行组合后发送给服务器，服务器获取到http报文相关信息后，从中获取到用户名跟密码，同样对用户名、密码、http请求方法、被请求资源的url等组合进行md5运算，计算的结果进行比较，结果相同就认证通过

其实通过hash算法，对通信双方身份的认证非常常见，不必把包含密码的信息对外传输，只需要把这些密码信息，加入一个对方给定的随机值，然后计算出hash值传输给对方就可以认证身份，这种模式避免了密码在网络上明文传输，

缺点：报文还是会被攻击者拦截到然后获取相关资源

三、X509:

是一种非常通用的证书格式，所有的X509证书都包含：版本号、证书持有人的公钥、证书的序列号 。证书的序列号是由每一个证书分配的唯一编号数字型编号，证书取消后实际上放入由ca签发的黑名单列表中，这也是序列号唯一的原因，X509还包含主题信息、证书的有效期、认证的签名、签名的算法等等，目前被广泛应用

四、LDAP:

是轻量级的目录访问协议，为了解决需要初始化很多密码，大量密码的管理，还有公司增加内部服务的时候，管理员需要为大量员工初始化新的账户信息，为所有软件提供统一的认证机制，改变原有的认证策略，使需要认证的策略都通过LDAP去认证，或者所有信息都存储在LDAP server中，终端用户使用公司内部服务的时候，都需要LDAP服务器的认证，每个员工只需要进入管理员提供的web节目，修改自己在LDAP server中的信息即可，常适用于大公司

五、Form 表单验证，不多做解释

Windows桌面双因素认证流程是什么？

双重保护免受安全漏洞攻击

随着安全漏洞数量每天都在增加，仅依靠用户名和密码来保护用户帐户已不再是一种选择。除了使密码更强大之外，更可行的解决方案是添加额外的安全层来过滤未经授权的用户。双因素身份验证-一种使用用户已知和已有的东西对用户进行身份验证的方法，使这一切成为可能。

使用ADSelfServicePlus登录Windows

启用ADSelfServicePlus“Windows登录TFA功能，用户必须在连续的两个阶段中对自己进行身份验证，才能访问其Windows计算机。第一级身份验证是通过他们知道的东西：他们通常的Windows凭据。第二级身份验证-他们拥有的一些东西-可以通过以下方式之一：

安全问题与答案

邮件验证

短信验证

Google身份验证器

DuoSecurity

RSASecurID

RADIUS认证

推送通知认证

指纹认证

基于二维码的身份验证

Microsoft身份验证器

TOTP认证

基于AD的安全问题

Windows登录TFA确保即使在密码被泄露的情况下也不会对敏感数据造成任何风险。也就是说，即使未经授权的用户获得了对用户密码的访问权限，他们仍然需要访问用户的电话或邮件才能获得验证码。此外，SMS和基于电子邮件的验证码以及来自DuoSecurity和RSASecurID的身份验证码对于每个用户都是唯一的。这些代码只能使用一次，并且如果在一定时间内未使用它们就会过期。

启用Windows登录TFA后，会将TFA添加到所有Windows本地和远程登录尝试中。

ADSelfServicePlus在以下操作系统上支持Windows登录TFA：

WindowsVista及更高版本。

WindowsServer2008及更高版本。

宁盾双因素认证系统优缺点？

最大的优点就是兼容性好，各类网络设备、操作系统、堡垒机、网站及应用，宁盾双因素认证系统可无缝支持AD/LDAP账号源、Web内建账号源等、无需改变现有的账号管理模式，实现快速对接。满足国家等保20合规性要求，有国密SM3算法资质；缺点是有点小贵。

什么是双因素身份认证

双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数和同样的算法计算了认证的动态密码，从而确保密码的一致性，从而实现了用户的认证。

因每次认证时的随机参数不同，所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性，从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失，防止恶意入侵者或人为破坏，解决由口令泄密导致的入侵问题。

扩展资料：

双因素认证常用在以下场景：

1、无线网络的保护；

2、对路由器、交换机和防火墙等网络设备的双因素身份认证；

3、对各种***的双因素身份认证；

4、对UNIX、Linux及Windows等操作系统保护；

5、对不同的Web服务器的保护；

6、对各种C/S应用系统保护；

-身份认证

-双因素认证

请问一下，宁盾双因素身份认证是个什么东西？大家有啥好建议

宁盾双因素身份认证系统是一套提供动态密码生成、认证和审计功能的系统，将动态密码与原有账号密码认证结合，实现双因子认证保障，有效保护企业应用系统安全，同时能够帮助企业实现对应用访问账户的审计。

宁盾双因素身份认证系统可提供短信认证、硬件令牌、手机令牌、手机推送、H5令牌等十几种动态密码认证形式，并支持内建/AD/LDAP等第三方账号密码认证，用户根据自身应用状况，选择合适的动态密码形式，是一种安全与便捷完美结合的双因素身份认证解决方案。

请问一下，Office365的双因素认证怎么实现？大家有推荐不

在Office365原有静态密码认证基础上增加第二重保护，宁盾双因素认证结合ADFS联合认证，通过提供多种形式的一次性动态令牌实现双因素认证，提升账号安全，避免因密码共享/泄露或破解造成的账号被盗用，一旦发生安全事件也可追责到个人，加强用户登录认证审计。

具体Office365双因素认证实现流程是：员工访问office365时，首先跳转到ADFS登录页面进行域身份验证。验证成功后进入动态密码验证页面。ADFS服务器将动态密码身份信息传递给宁盾认证服务器进行验证。验证通过，跳转回office365。至此双因素认证登录过程完成。

企业为什么要做双因素认证？

简单来说，双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。例如，在ATM上取款的银行卡就是一个双因素认证机制的例子，需要知道取款密码和银行卡这二个要素结合才能使用。

目前主流的双因素认证系统是基于时间同步型，市场占有率高的有DKEY双因素认证系统、RSA双因素认证系统等，由于DKEY增加对短信密码认证及短信+令牌混合认证支持，相比RSA,DKEY双因素认证系统更具竞争力。