免责声明 :此如何适用于privacyIDEA版本2.X. 在撰写本文时,目前的版本是2.12.1。
Wordpress是广泛传播的博客系统,不仅用于私人博客网站,而且有时也用作公司网站的CMS。
Wordpress是非常好的维护和易于更新。 但是,由于它被广泛使用,对于饼干也是一个有趣的目标(避免说黑客)。
这就是为什么今天我会告诉你如何使用OTP认证的第二个因素来保护WordPress帐户。
Wordpress
我假设你已经在系统上安装了WordPress,按照这样的指导。
创建一些用户,您的管理员和一些编辑器。 我创建了用户admin,fred和 马克思
安装privacyIDEA
现在你需要安装privacyIDEA。 在线文档中,您可能已经完成了以下某些情况 。
要包装,今天在Ubuntu 14.04 LTS安装privacyIDEA是这样容易:
add-apt-repository ppa:privacyidea/privacyidea
apt-get update
apt-get install privacyidea-apache2
创建您的管理员电话“超级”:
pi-manage admin add super
完成 使用刚刚创建的管理员登录https:// yourserver。
配置privacyIDEA
privacyIDEA可以从您的WordPress安装中读取用户。 所以每次在WordPress中创建一个新用户时,privacyIDEA都会看到这一点,您将能够为该用户分配一个新的OTP令牌。
为了正常工作,我们需要创建一个用户标识解析器,告诉privacyIDEA在哪里可以找到用户和领域。 转到privacyIDEA Config- > Users ,然后单击“New SQL Resolver”。
我在与WordPress相同的机器上安装了privacyIDEA。 而WordPress的MySQL数据库也在同一台机器上。 如果您的SQL数据库位于另一台计算机上,则需要注意,privacyIDEA必须能够通过网络访问SQL数据库。
在顶部,您需要输入SQL连接的所有信息。 在SQL属性的底部,您可以简单地单击“Wordpress”按钮,并输入正确的表和列定义。 (privacyIDEA也知道OTRS,Tine2.0和OwnCloud!的表预设)
您可以点击“测试”按钮,您将看到,privacyIDEA找到了WordPress用户。
现在你需要创建一个包含我们刚创建的解析器的领域。 将解析器视为与用户商店和用户群组合为一组用户的领域的链接。
阅读更多关于解析器和领域 。
去配置 - >领域创建一个新的领域“wordpress”,其中包含解析器wordpress。 在我的屏幕截图中,你可以看到,我配置了一堆领域。 您可能想要将您的领域“wordpress”设置为默认领域。
现在,您可以在他们的菜单用户中看到用户列表。
注册令牌
我们为用户fred注册Google Authenticator令牌。 请安装Google Authenticator应用,然后在用户视图中选择用户fred。
你可以看到,Fred现在还没有记号。
现在点击按钮“注册新令牌”。
您可以选择令牌类型。 我们选择HOTP,它与Google Authenticator一起使用。 您还可以选择TOTP并使用FreeOTP或OTP Authenticator。
点击“注册令牌”后,您可以使用应用程序扫描QR码:
然后,App将能够创建一次性密码。 用户将必须使用静态密码(第1个因素)和应用程序创建的一次性密码进行身份验证(第2个因素)。 如果您希望用户使用WordPress的静态密码进行身份验证(在这种情况下,用户可以在WordPress中更改其静态密码),则需要在配置 - >策略中设置以下策略 。
在范围=身份验证和otppin = userstore中创建新策略。
您可以通过连接WordPress密码和OTP值(如“mySecretWordpressPa $$ 123456”)来查看令牌详细信息并测试令牌身份验证。
如果您验证成功,您已准备好设置WordPress!
Wordpress强身份验证
您的privacyIDEA服务器设置正确,用户有一个可用的OTP令牌。
现在登录到您的WordPress安装并安装并激活强大的身份验证插件。
在设置中,您可以配置强身份验证插件以使用您的privacyidea服务器的本地安装。 记住添加https和端口。 在该字段中,排除用户可以定义用户名,不应该对隐私权进行验证。 如果您错配了插件或您的服务中断,那么有一种紧急帐户的可能性很大。
如果您没有将“wordpress”设置为默认域,则需要在此处指定该域的名称。
现在您可以使用您选择的第二个因素进行身份验证。
快乐博客!
结论
我们使WordPress能够使用第二个因素来验证所有用户。 第二个因素由外部系统管理。 因此,您可以为用户分配多个设备,您可以为用户分配不同的设备。 一个用户可以使用Google验证器登录另一个使用yubikey的用户 - 使您更好地灵活地使用wordpress集成解决方案。
此外,您可以使用privacyIDEA安装来验证其他应用程序中的用户,无论是其他Web应用程序还是OpenVPN或SSH等系统。
您也可以在WordPress配置中使用一个独特的领域,为多个WordPress实例使用一个privacyIDEA安装。 因此,在一个privacyIDEA系统中管理所有身份验证设备,为整个WordPress服务器场提供双重身份验证。
