Почему важно использовать двухфакторную аутентификацию:
- Повышает уровень безопасности: Даже если злоумышленник получит ваш пароль, он не сможет его использовать так как ему нужно еще получить значение второго типа аутентификации, например, одноразовый пароль (otp).
- Снижение риска повторного использования пароля: Многие любят использовать один и тот же пароль для нескольких сервисов. Конечно двухфакторная аутентификация не исправит эту проблему, но благодаря ей у вас будут разные otp для разных сервисов. Т.е. кто-то, узнав ваш пароль от одной системы может им воспользоваться для доступа к другой системе, но столкнётся со вторым этапом.
- Соответствие требованиям: Многие организации особенно государственные проходят проверки и одна из таких проверок — это соответствие требованиям аутентификации, а именно наличие двухфакторной аутентификации.
Включаем OTP
На самом деле всё очень просто:
- На телефон качаем приложение free otp или google authentificator
- Добавляем токен OTP для пользователя
- Во FreeIpa для конкретного пользователя активируем галочку Двухфакторная аутентификация (пароль + OTP) или глобально
Добавляем токен OTP для пользователя
Для начала пользователь может сам добавить себе токен. Для этого нужно авторизоваться в web интерфейсе и перейти во вкладку Токены OTP.
И второй вариант — это когда администратор добавляет Токены OTP для другого пользователя.
После чего выйдет всплывающее окно с qr кодом, который нужно отсканировать приложением ree otp или google authentificator.
Активируем Двухфакторную аутентификацию (Web)
Редактируем конкретного пользователя и выставляем галочку Двухфакторная аутентификация (пароль + OTP).
Для того, чтобы задать глобально а не для конкретного пользователя переходим в IPA-сервер > Конфигурация.
Активируем Двухфакторную аутентификацию (Cli)
Для конкретного пользователя:
ipa user-mod ivanov --user-auth-type=otp
Для того, чтобы задать глобально:
ipa config-mod --user-auth-type=otp
Комментарии