如何使用privacyIDEA向OTRS添加双因素身份验证
在这方面我们将会展示,使用OTP令牌向OTRS添加双因素身份验证是多么容易。 这对于支持代理来说是为了保护支持案例和客户数据免遭攻击者和滥用。 然而,这可以以相同的方式为客户完成。
验证不会被OTRS验证,而是通过privacyIDEA验证。 用户仍然从OTRS数据库中获取。 也使用与之前使用的相同的静态密码。
先决条件
我们假设您已经安装了OTRS和privacyIDEA 。 您可能已经遵循以前的howto来安装privacyIDEA 。
OTRS中的用户
目前我们在OTRS中有几个代理商。 他们的密码恰好是“测试”。 他们可以使用这个密码登录。
定义privacyIDEA中的用户
privacyIDEA始终使用现有的用户商店。 这可以是平面文件,LDAP目录,SCIM服务或SQL数据库。 在这种情况下,我们将告诉privacyIDEA寻找OTRS数据库中的用户。
转到privacyIDEA配置 - > UserIdResolvers 。 单击按钮“新建”创建一个新的UserIdResolver。 选择“SQL”。
您可以在此输入OTRS数据库的连接定义。 为了简化设置,有一个按钮“OTRS”,它将在“数据库表”和“属性映射”中设置默认的OTRS值。 在大多数情况下,您不必更改此操作。
如果OTRS在像PrivacyIDEA服务器这样的机器上运行,它可能如下所示:
几个解析器可以组合成一个领域。 所以也需要把这个单一的解析器放在一个领域。 如果保存并关闭解析器对话框,则privacyIDEA将自动带您进入领域对话框。
创建一个新的领域“otrs”,并将您刚创建的解析器放入这个领域。 解析器将以蓝色突出显示。
保存领域,现在转到用户视图选项卡。 您现在将看到OTRS数据库中的所有代理。
向用户注册令牌并进行测试
现在,您可以向OTRS用户注册或分配您选择的令牌。 在此示例中,我注册了Google Authenticator。 选择用户“jbond”,然后单击按钮注册。 然后要注册的令牌将被直接分配给用户“jbond”。
选择“基于HMAC事件”并选择“[x]大型HMAC密钥”。 然后将生成QR码,可以使用Google Authenticator App进行扫描。
注册令牌后,您可以为此令牌设置OTP PIN,我选择“1234”。
在令牌视图中,您可以看到令牌,现在。
测试认证
您可以将浏览器指向http://your.pricacyidea.server/auth/index,并尝试使用用户(“jbond”)和密码“1234142371”进行身份验证,其中“1234”是我在注册,“Authenticator”显示的OTP值为“142371”。
您可以在audt日志中查看成功的身份验证。
定义身份验证策略
这仅在OTRS中使用默认密码散列方案时才起作用,这在写入时似乎是没有限制的sha256。 密码存储为64位十六进制字符串
正如刚才所说,我们希望用户使用他们的OTRS密码,而不是这个额外的PIN“1234”。 普通用户不记得很多硬密码。
您可以设置身份验证策略来实现此目的。 转到“策略”选项卡并创建此策略:
不要忘记将策略标记为活动。
再次,您可以检查身份验证,但这次用户“jbond”需要输入“test281707”。 “测试”是他原来的OTRS密码。
设置OTRS
privacyIDEA附带一个OTRS认证模块,可以在这里找到。
将其复制到OTRS目录Kernel / System / Auth。
在您的Kernel / Config.pm中配置以下内容:$Self->{'AuthModule'} = 'Kernel::System::Auth::privacyIDEA';
$Self->{'AuthModule::privacyIDEA::URL'} = "http://localhost:5001/validate/simplecheck";
根据您的privacyIDEA安装调整URL。
现在每个代理登录,需要使用他的OTRS密码登录,并从他的令牌中连接OTP值。
注意: root @ localhost也将无法登录,而不再有令牌。
快乐认证和安全支持!
