在“使用JANUSEC应用网关给内部网站添加身份认证”一文中,介绍了在JANUSEC网关启用移动办公APP(企业微信、钉钉、飞书)扫码身份认证的方法。其实,JANUSEC应用网关还支持LDAP身份认证,并且可以启用双因子认证。
1.双因子激活体验
开启LDAP双因子身份认证之后,新员工访问内部业务的体验是什么样的呢?
首先,应用网关会引导员工到登录界面:
首次访问时,直接使用LDAP认证,认证通过后,跳转到认证码登记激活界面:
这时,可使用手机APP(Google Authenticator或者Microsoft Authenticator )扫描上图的二维码(这个过程,其实就是手机APP跟网关共享密钥的过程,以便让手机APP生成正确的认证码)。
在认证码激活界面,输入上图中的6位数字,即激活了该账户的双因子认证。
然后在登录界面,就需要同时输入口令和正确的认证码了。
2.LDAP双因子身份认证配置方法
在JANUSEC应用网关的配置文件/usr/local/janusec/config.json中,可以看到LDAP的配置:
{
"node_role": "master",
"master_node": {
...
"oauth": {
"enabled": true,
"provider": "ldap",
...
"ldap": {
"display_name": "Login with LDAP",
"entrance": "https://gate.janusec.com/ldap/login",
"address": "ldap.janusec.com:389",
"dn":"uid={uid},ou=People,dc=janusec,dc=com",
"using_tls": false,
"authenticator_enabled": true
}
}
},
"slave_node": {
...
}
}其中:
// 显示在登录界面
的文字
"display_name": "Login with LDAP",
// 修改entrance,使用您的网关域名替换
"entrance": "https://网关域名/ldap/login",
// LDAP服务器地址,格式为 域名:端口
"address": "LDAP服务器域名:389",
// {uid} 保持不变,其他根据实际修改
"dn":"uid={uid},ou=People,dc=XXX,dc=com",
// 是否启用加密传输
"using_tls":false,
// 是否启用Authenticator认证码双因子认证
// 需要安装手机APP(Google Authenticator或Microsoft Authenticator)
"authenticator_enabled": false当authenticator_enabled为true时,会启用认证码机制。
这款开源产品的架构设计理念,在作者的《数据安全架构设计与实战》一书中做了介绍,提供了统一的应用接入、WAF、CC攻击防御、证书私钥保护,Web路由等功能。
本文转载自: https://www.janusec.com/articles/opensource/1590224628.html (转载请注明出处)