|
citrix ag/web inte**ce结合短信动态密码双因子认证 目前citrix的双因子认证技术是基于硬件令牌方式,IT管理员会为每个citrix用户分配分发一只令牌,citrix用户登录时输入令牌上显示的6位随即数字,即可完成登录是目前最为常用的强身份认证方案,它最大优点在于认证响应度高,然而采用此种方式用户需携带额外硬件设备,移动办公用户可能由于忘记携带或者丢失导致无法认证情形。% m, S9 j( Y8 Y6 A4 e: D U7 f
7 K* y- ^% g9 B# w# e4 S
方案概述6 _) f* v6 _ Y( ~- }% `
短信密码通过短信方式将包含随机密码的文本发送至用户手机上,通常用户会随身携带手机,无需携带额外硬件,无需安装软件,因此它是安全与便捷紧密结合的双因子认证解决方案。
3 S0 i6 j: c2 \" f+ F7 h
: A: X) R2 ^' h$ J; e) ]9 K$ e- R( t$ v" H9 d+ ^$ h7 D) @
! H# o% q. `0 `9 S) h
Citrix结合DKEY短信密码认证,通常CITRIX帐号是托管在AD/LDAP中,在完成域帐号认证之后,认证服务器会随机生成一个一次性密码并通过短信网关发送到用户手机上,用户输入至二级认证框并提交验证后才能完成认证。
+ H5 X' A3 T p: n5 I/ ~: i/ ?$ D# M 这是 Citrix 域账户和动态密码的双重认证,因而能够很有效的保证账户信息的安全性,同时该方案兼容令牌认证。
- ^ ^, Y' G) B p7 P9 i" Z; Y% y% C1 T# O9 R1 D. H
拓扑结构
: e% m3 O8 X% m7 d, r- `1 T) J2 C. z3 V. n' a$ v( C1 [, ^
v9 @" d8 `* Q) X& x3 |
' Y s. T, ?5 s- @/ B7 Z: P0 h" G- A
整体架构组成部分:
3 p9 v, ]8 z9 i; T1.DKEY TMS:内置Radius Server,用来接收AG传递过来的域帐号、密码及短信密码,并负责短信密码生成及验证。
: O% L5 b/ Y- U2.LDAP用户数据库:通常就是Windows Active Directory服务器。- r/ n ` }6 {! e P' b4 Y P& N! ?: M
3.短信网关:负责将DKEY TMS生成的随机密码发送至用户手机上,DKEY支持短信网关(含MAS机)、短信*猫。' o' u* i2 } b; Y& ~" {' x
4.Citrix Access Gateway或Web Inte**ce。
& }3 J! A2 X- o& S
# u' g- d! z0 o0 M! Q; T8 K& j4 x认证流程+ O( C. y8 g8 s1 Z9 l
第一步:用户输入域账户和密码登录: n2 D3 \( G4 y( c# x# _; L2 T
7 B8 z$ J) `4 \% i0 A( E* e2 q' R( c
第二步:CITRIX AG通过RADIUS 协议转发域账户信息至DKEY TMS进行认证0 D+ x6 Y# N7 _- ~
第三步:DKEY TMS通过LDAP 协议转发域账号信息发送至AD SERVER进行域账户查询" a7 G, q" S; Z; `6 n8 F, U/ m3 E
第四步: 域账户返回认证结果给DKEY 动态身份认证系统
- u8 M# [( P0 x) A9 @0 s( N/ u" a3 C第五步:如果认证成功,AG弹出二级认证页面并输入手机收到的包含随机密码的短信(支持Citrix Receiver)
9 @1 l. X+ R N' }: d& A( t
* b6 L9 ^/ x& o$ Y% G, z& L6 G8 c4 n" g( A6 e4 U. I* l
第六步: 再次提交验证,等待返回结果5 l. \2 w8 C/ \4 }
# T4 g# y0 Y0 a
支持哪些终端访问?8 ~# a9 a: `5 O1 G+ d% A5 F# R
(1)web方式
, H9 M! R( C, I: \1 q" D(2)iphone、andriod、ipad(citrix receiver)
5 m5 Q( ^- k. C# h& V0 `3 m% b& n# \7 M" r7 k0 q/ M8 F
|
|