Двухфакторная аутентификация для Zimbra

Question

Двухфакторная аутентификация для Zimbra

Я искал двухфакторную аутентификацию, которая хорошо работает с открытым исходным кодом Zimbra.

Один из продуктов, на которые я смотрел - eToken PASS ( http://www.safenet-inc.com/multi-factor-authentication/authenticators/one-time-password-otp/etoken-pass/) требует программного обеспечения, работающего на Windows и У меня нет собственных серверов Windows, поэтому они не будут работать для меня. Кроме того, некоторые пользователи, использующие Outlook, не смогут пройти проверку подлинности с использованием этого метода.

Более простой вариант был: http://www.safenet-inc.com/multi-factor-authentication/authenticators/pki-usb-authentication/. В основном это SSL-сертификат на USB-ключе. По-видимому, это работает как с браузерами, так и с почтовыми клиентами и не требует никакого дополнительного программного обеспечения для проверки подлинности. У кого-нибудь есть опыт интеграции подобных устройств с Zimbra?

Другая проблема заключается в том, что мне нужна эта двухфакторная аутентификация только для ограниченного числа пользователей на сервере. Это вообще возможно?

0

password zimbra two-factor

Источник

Debianuser 17 окт '14 в 09:09

1 ответ

Другие вопросы по тегам password zimbra two-factor

cornelinux 17 окт '14 в 20:45 2014-10-17 20:45 · Answer 1 · 2014-10-17 20:45

Если вы используете etoken (pki-usb-authentication), вы, вероятно, выполните аутентификацию сертификата клиента в браузере. Это потребует перенастройки сервера Apache для запроса сертификата клиента. И здесь проблема. Вы не можете определить, какой пользователь собирается аутентифицироваться, пока пользователь / браузер не предоставил сертификат клиента. Таким образом, пользователи без сертификата токена / клиента не смогут легко пройти аутентификацию. Тем не менее, в таком решении вы можете зарегистрировать eToken для одной группы пользователей и программные сертификаты для другой группы пользователей.

Вы можете использовать eToken PASS в качестве генератора одноразовых паролей. EToken PASS также можно посеять, поэтому вам не нужно доверять продавцу и дистрибьютору. Вы должны взглянуть на карты дисплея SmartDisplayer. Их нельзя посеять, но они действительно крутые, так как имеют дисплей ePaper, и они вписываются в ваш кошелек. В качестве другого аппаратного устройства вы можете взглянуть на Yubikey, который снова можно посеять.

Congrats. У вас нет сервера Windows;-) Так почему бы не использовать бэкэнд аутентификации на основе linux, как http://privacyidea.org/? Который поддерживает все токены, упомянутые.

Что касается Zimbra, то снова есть две возможности.

О. Вы настраиваете свой веб-сервер таким образом, что вам необходимо выполнить двухфакторную аутентификацию, прежде чем перейти к экрану входа в систему zimbra. Но в этом случае у вас могут возникнуть проблемы с приложениями для смартфонов. (Который вы также столкнетесь с клиентскими сертификатами)

B. Аутентифицировать пользователя с 2fa только в Zimbra. Похоже, зимбра хотя бы поддерживает SAML. Вы можете настроить privacyidea в качестве поставщика удостоверений SAML и Zimbra в качестве поставщика услуг. Пользователь аутентифицируется в IdP с двумя факторами, а затем регистрируется в ZImbra. Недавно я написал руководство по настройке privacyidea как SAML IdP.

Надеюсь, это поможет в качестве отправной точки.