如何设置受双因素身份验证保护的基于Web的企业密码管理器

如何设置由双因素身份验证保护的基于Web的企业密码管理器

虽然Facebook和Google等更多服务提供双重身份验证是件好事，但还是有很多服务。 什么是下一件最好的事情？ 使用密码管理器和令人难以置信的复杂密码。 密码管理器允许您在访问的所有站点和服务中使用不同的密码，但会创建“钥匙到王国”问题。 本教程将向您展示如何安装WebKeePass开放源代码的基于Web的企业密码管理器，以及如何使用WiKID系统的双因素身份验证来保护它。 请注意，我们还没有评估WebKeePass的安全性 - 这当然是值得的。 我们的主要选择标准是：开源，多用户和允许外部身份验证，在这种情况下通过LDAP。 另一个看起来很有前途的选择是CorporateVault 。

安装WebKeePass

安装非常简单。 从sourceforge下载最新的tarball开始：

wget http://downloads.sourceforge.net/project/webkeepass/WebKeePass-3.101127.zip?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fwebkeepass%2Ffiles%2F&ts=1309378079&use_mirror=softlayer

unzip WebKeePass-3.101127.zip

cd WebKeePass-3.101127

chmod a+x Install.sh

./Install.sh

您将被提示同意LGPL; 要求安装和java主目录，tomcat端口，并创建一些用户并指定加密算法。 一旦你这样做，你可以cd进入安装目录并运行：

chmod a+x ./startup.sh

chmod a+x jakarta-tomcat-5.5.7/bin/*

./startup.sh

你应该看到：

[root@localhost test]# ./startup.sh
 Using CATALINA_BASE:   /root/test/jakarta-tomcat-5.5.7
 Using CATALINA_HOME:   /root/test/jakarta-tomcat-5.5.7
 Using CATALINA_TMPDIR: /root/test/jakarta-tomcat-5.5.7/temp
 Using JAVA_HOME:       /usr/java/latest/

现在，浏览到您为tomcat指定的端口，例如： https：// localhost：8443 / ，并且应该会提示您运行java应用程序。 接受它，您将看到登录屏幕：

使用您在安装脚本中创建的管理或用户凭据登录。 此步骤主要是在我们向WebKeePass添加双因素身份验证之前确认一切正常。

添加双因素身份验证

我们假设您已经配置了WiKID强身份验证服务器。 如果没有，请参阅这里的说明： http : //www.wikidsystems.com/support/wikid-support-center/installation-how-tos 。

需要将WebKeePass服务器作为使用LDAP的网络客户端添加到WiKID服务器。 在WiKIDAdmin Web UI上，单击网络客户端选项卡，然后单击“创建新的网络客户端”。 给它一个描述性名称，指定您的WebKeePass服务器的IP地址和协议为LDAP。 将网络客户端与域关联 - WiKID用户存储在域中。 点击添加：

然后在下一页添加NC。

从命令行，您将需要重新启动WiKID服务器以打开内置防火墙：

# wikidctl restart

配置WebKeePass进行双因素身份验证

在您的WebKeePass服务器上，进入/ $ webkeepass_directory / conf /并编辑WebKeePassConf.xml ：

vim WebKeePassConf.xml

将ldap部分更改为：

<LDAP_CONFIG>
    <LDAP>true</LDAP>
    <LDAP_Group>Users</LDAP_Group>
    <principalDNPrefix>uid=</principalDNPrefix>
    <principalDNSuffix>,domain=010100000127</principalDNSuffix>
    <java.naming.provider.url>ldap://10.100.0.127:389</java.naming.provider.url>
    <java.naming.security.authentication>simple</java.naming.security.authentication>
    <java.naming.factory.initial>com.sun.jndi.ldap.LdapCtxFactory</java.naming.factory.initial>
  </LDAP_CONFIG>

使用您的WiKID服务器的12位域标识符和IP地址替换域。 （注意域标识符是IP地址，零填充。）

您现在应该可以使用WiKID服务器的一次性密码登录WebKeePass！ 这样做的好处是您不必手动添加新用户。

显然，密码已经达到了突破点。 虽然我们鼓励开发人员和系统管理员部署双因素身份验证 ，但总是会有服务不存在。 通过来自WiKID的双因素身份验证得到的WebKeePass允许您提供企业级密码管理器。

有关：

• 使用WiKID双因素身份验证在Ubuntu上保护SSH
• 如何安装WiKID强认证服务器 - 社区版
• WiKID网站： http : //www.wikidsystems.com
• WiKID Sourceforge网站。 http://sourceforge.net/projects/wikid-twofactor/