服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Zimbra的双因素authentication
Intereting Posts
pg_dump和pg_restore:input文件似乎不是有效的存档 防止远程桌面到Azure云服务的证书错误:“证书没有私钥”。 在xfs和ext4中用xattr存储很多小文件 CentOS 5上的sendmail问题 OS X上的后缀可以使用MySQL表吗? Linuxcaching与它无法访问的机器的IP路由 将LogMeIn Hamachi整合到您自己的工作networking中作为专用的VPN解决scheme 我的apache进程之一是巨大的 – 我怎么知道为什么? 文件服务器迁移中的文件夹权限问题 – 共享任务VS NTFS权限 我可以configurationmmcpipe理单元的行为方式与Microsoft服务器上的本地pipe理工具相同吗? 如何让apache2redirect到一个子目录 我怎样才能改变在IIS中的网站的configuration文件的位置? 如何修改CoreOS的grub默认超时值? IPv6唯一的服务器PXE供应 GPO无法从DFS文件夹安装软件

Zimbra的双因素authentication

我一直在寻找一种与Zimbra开源版本兼容的双因素authentication。

我看到的产品之一 – eToken PASS( http://www.safenet-inc.com/multi-factor-authentication/authenticators/one-time-password-otp/etoken-pass/ )需要在Windows上运行的软件和我没有任何内部的Windows服务器,所以不会为我工作。 此外,一些使用Outlook的用户将无法使用此方法进行身份validation。

更直接的select是: http : //www.safenet-inc.com/multi-factor-authentication/authenticators/pki-usb-authentication/ 。 这基本上是USB密钥中的SSL证书。 显然这与浏览器以及电子邮件客户端一起工作,不需要任何额外的后端软件进行身份validation。 有没有人有类似的设备与Zimbra集成的经验?

另一个问题是,我只需要服务器上的有限数量的用户的这个双因素authentication。 这甚至有可能吗?

如果使用etoken(pki-usb-authentication),您可能会在浏览器中执行客户端证书身份validation。 这将需要重新configurationApache服务器以要求客户端证书。 这是问题。 在用户/浏览器提供客户端证书之前,您无法确定哪个用户即将进行身份validation。 因此没有令牌/客户端证书的用户将不能轻易地进行身份validation。 不过,在这样的解决scheme中,您可以将eToken注册到一个用户组,并将软证书注册到另一个用户组。

您可以使用eToken PASS作为一次性密码生成器。 eToken PASS也可以播种,因此您不需要信任供应商和分销商。 你应该看看smartdisplayer显示卡。 这些不能播种,但真的很酷,因为有一个电子纸显示器,他们适合你的钱包。 作为另一个硬件设备,你可以看看Yubikey,它也可以播种。

恭喜。 你没有Windows服务器;-)那么为什么不使用像privacyidea基于Linux的身份validation后端? 它支持所有的令牌。

就Zimbra而言,还有两种可能性。

答:您configuration您的networking服务器,以便您需要在进入zimbralogin屏幕之前进行双因素身份validation。 但在这种情况下,您的智能手机应用程序可能会出现问题。 (你也会碰到客户证书)

B.在zimbra中用2favalidation用户。 看起来zimbra至less支持SAML 。 您可以将privacyidea设置为SAML身份提供商和Zimbra作为服务提供商。 用户使用两个因素对IdP进行身份validation,然后login到ZImbra。 最近我写了一个关于将privacyidea设置为SAML IdP的方法 。

希望这有助于作为一个起点。