您是否使用过并建议使用 RSA SecurID 的替代方案进行两因素身份验证?
我最近在我的公司部署了一个新的远程访问 VPN 系统,使用 Cisco ASA 5510 作为集中器。该协议是 L2TP-over-IPsec,以实现客户端之间的最大兼容性,并且身份验证由 RSA SecurID 设备处理。除了在一种特定情况下,一切都运行良好:
在这种情况下,用户的帐户在尝试连接到网络资源(即打开 Outlook)后几乎立即被锁定在 Active Directory 中。
我认为问题在于 Windows 正在尝试使用为连接到 VPN 提供的凭据。由于用户名匹配但密码不匹配,因为它实际上是由 SecurID 令牌生成的一次性密码,因此身份验证失败。连续尝试导致帐户被锁定。
有没有办法告诉 Windows 停止这样做?我尝试禁用 VPN 属性中的“Microsoft 网络客户端”选项,但没有帮助。
我们建立了一个双因素身份验证系统,该系统使用Google Authenticator通过手机应用程序使用 OTP。然而,我们的一些用户没有智能手机,所以我们希望能够使用硬件令牌。
如果制造商设置了密钥/种子,那么其他人显然可能知道您的密钥。这似乎不安全。因此,如果它们可以重新播种,那没有意义。当您获得这些类型的硬件令牌时,是否可以使用新的密钥重置它们?是否仅取决于关键制造商?
我有一个远程访问 VPN,它通过 RSA SecurID 服务器和 Active Directory 进行身份验证。
出于复杂的内部政策原因,有人提出请求,要求我们能够在每个用户的登录次数达到一定数量后暂停访问。
例如,用户 john.doe 可以登录 100 次,但此后,他的帐户将在 AD 中被禁用,直到手动恢复。
我很难弄清楚如何以及在哪里最好地配置它。
有任何想法吗?