在应用网关上启用LDAP双因子认证
在之前的一篇文章"快速给内部网站添加身份认证"中,介绍不用改动业务代码,直接在JANUSEC应用网关上开启身份认证的实现方案。不过,很快就有朋友提出问题来了:“你这只能支持第三方APP的扫描登录呀,我们内网使用的是LDAP认证,能支持么?”、“光LDAP还不行,用的是静态口令,还得加上双因子认证才保险”...
有道理!虽然支持扫描身份认证,但还是有很多朋友用不上,这个功能得研究下。
LDAP是成熟的模式,还比较好说。
双因子该怎么实现呢? 作为开源产品,直接搞个硬件令牌或Token、USB Token、U2F之类的是不现实的。于是,想到了一些手机APP可以提供认证码,比如Google Authenticator, Microsoft Authenticator 等。
一番尝试之后,终于有了收获:
首次访问时,直接使用LDAP认证,认证通过后,跳转到认证码登记激活界面:
这时,可使用手机APP(Google Authenticator或者Microsoft Authenticator )扫描上图的二维码(这个过程,其实就是手机APP跟网关共享密钥的过程,以便让手机APP生成正确的认证码)。
在认证码激活界面,输入上图中的6位数字,即激活了该账户的双因子认证。
然后在登录界面,就需要同时输入口令和认证码了。
附录: 本文提到的开源产品为Janusec Application Gateway 参见:基于Golang打造一款开源的WAF网关。它提供了统一的应用接入、WAF、CC攻击防御、证书私钥保护,Web路由等功能。这款开源产品的架构设计理念,在作者的《数据安全架构设计与实战》一书中做了介绍。
本文作者U2(郑云文),资深数据安全与隐私保护专家,同时也是《数据安全架构设计与实战》一书以及Janusec Application Gateway开源应用网关的作者,长期从事数据安全与隐私保护工作。