我们希望我们公司的用户使用他们的 U 盘或其他东西登录他们的计算机。有没有办法在不从公司购买 USB 令牌的情况下实现这一目标?
我使用的是 sshd 通过选项调用的自定义密钥验证程序,而不是服务器上传统的authorized_keys 文件AuthorizedKeysCommand。在 sshd_config 中,我可以指定应将用户的公钥作为参数提供给此命令,如下所示:
AuthorizedKeysCommand /path/to/verifier %k
问题是密钥编码了大量附加数据,因此可能非常大。如果它大于大约 4135 字节,sshd 在扩展%k令牌时会记录一个致命错误:
sshd[5914]: fatal: percent_expand: string too long
我一直在梳理源代码,percent_expand但没有看到任何地方string too long可能会遇到此错误。代币大小似乎有某种限制,但它是什么呢?它是在哪里定义的?
我们建立了一个双因素身份验证系统,该系统使用Google Authenticator通过手机应用程序使用 OTP。然而,我们的一些用户没有智能手机,所以我们希望能够使用硬件令牌。
如果制造商设置了密钥/种子,那么其他人显然可能知道您的密钥。这似乎不安全。因此,如果它们可以重新播种,那没有意义。当您获得这些类型的硬件令牌时,是否可以使用新的密钥重置它们?是否仅取决于关键制造商?
我正在寻求构建一组需要单点登录的服务。基本上,您登录到我的 oAuth 提供商,并且可以访问 openvpn 连接(或wireguard)和网站,无需额外的安全性,原始设置可能除外。
因此,我的问题是:如何自动化 openVpn 以便我可以执行以下两件事之一:
或者
我有兴趣探索在 Active Directory 网络上启用多因素域身份验证的所有选项。我没有从这个问题中排除任何技术,但是我更喜欢更简单的实现来详细说明配置。指纹读取器将是理想的选择,因为最终用户通常会在不丢失手指的情况下加快速度。小型硬令牌也可以使用,例如智能卡、USB 令牌等...