Вопрос на самом деле настолько насущный что скорее всего однозначного ответа на него нет. На сегодняшний день понятие ОТР стало настолько часто встречаться, что наверно только ленивый не читал что это и как это живёт, попутно осознавая для чего оно нужно.

Давайте вкратце, OTP (One Time Password) тема весьма популярная и используется для двухфакторной идентификации, которая на самом деле уже реализована почти везде в популярных сервисах, например Google, Yandex и иже с ними.

В рамках организации ОТР используется чаще всего на VPN шлюзах, при получении/обновлении пользовательских сертификатов. Продуктов на сегодняшний день на рынке для реализации данной технологии очень и очень много, недавно даже ESET выпустил своё решение. Но стоит это всё весьма и весьма больших денег.

Но мы как любители Open Source сегодня посмотрим на продукт под названием privacyIDEA, он собственно бесплатен, и может быть развёрнут как на базе уже существующего LAMP, так и отдельным сервером который базируется на LinOTP. Список поддерживаемых способов получения ОТР будет следующим

  • Simple pass token, which in fact always says ACCEPTED.
  • HOTP / TOTP: SafeNet/eToken Pass, Safeword, Feitian, Smartdisplayer (all OATH tokens)
  • OCRA is a challenge response token type: OATH compliant OCRA tokens and LSE QR-TAN for online banking.
  • motp
  • RADIUS token to forward authentication request to a RADIUS server
  • REMOTE token to forward authentication request to another privacyIDEA server
  • Email-Token to send one time password via email
  • SMS-Token so send one time password via SMS (SMSOTP, mTAN, mobileTAN)
  • Yubikey in all Modes: OATH HOTP, Challenge Response, Yubico AES
  • Day OTP token: Token that uses one password for a day and changes the password the next day.
  • Password token: which combines the OTP PIN with an additional password. Internally this is used for the lost token scenario.
  • SSH public key: The SSH token contains the public SSH key. This SSH key can be distributed to machines for SSH login.
  • New Authentication devices can be added by creating a new python class inherited from TokenClass.

Так же хочется добавить, что сервис умеет работать как OpenID.

На данный момент в WIKI есть всего три статьи, с примерами применения API от данного решения, точнее даже две, это аутентификация в OTRS с помощью ОТР, ну и использование совместно с LDAP или Kerbros.

Однако стоит посетить страницу проекта LinOTP. Там можно найти больше интересных плюшек, например использование в качестве сервера идентификации с помощью LDAP, даёт нам возможность подключить его к

  • Microsoft Active Directory (via LDAP or LDAPS, only read access needed, no schema extension),
  • OpenLDAP,
  • 389 Server,
  • Novell eDirectory,
  • any LDAP interface adhering to the protocol standards.

Как всегда доступна платная поддержка продукта, ну и так называемое Community Edition

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Навигация по записям