MultiOTP第二因素认证#
功能介绍#
通过在服务器端部署MultiOTP Server,用户Windows系统安装multiOTPCredentialProvider, 实现用户本地登录或者通过远程桌面登录Windows时,
除了需要提供用户的密码(本地账户密码或者域环境下的AD账户密码)外,仍然需要提供OTP动态密码,才能登陆Windows。
配置指南#
安装MultiOTP Server#
下载链接:https://download.multiotp.net/
在windows server上解压缩,管理员执行windows目录下的webservice_install脚本
用chrome打开multiotp地址:http://localhost:8112/
Windows Server上配置需要同步的用户#
同步AD用户到multiOTP#
打开Powershell终端, 进入multiOTP解压目录下的windows目录执行如下命令
.\multiotp -config server-secret=secret2OTP
打开Powershell终端, 进入multiOTP解压目录下的windows目录执行如下命令,注意更改AD的地址,端口,用户名和密码等参数
.\multiotp -config default-request-prefix-pin=0 .\multiotp -config default-request-ldap-pwd=0 .\multiotp -config ldap-server-type=1 .\multiotp -config ldap-cn-identifier="sAMAccountName" .\multiotp -config ldap-group-cn-identifier="sAMAccountName" .\multiotp -config ldap-group-attribute="memberOf" .\multiotp -config ldap-ssl=0 .\multiotp -config ldap-port=389 .\multiotp -config ldap-domain-controllers=DC.dragon.com .\multiotp -config ldap-base-dn="DC=dragon,DC=com" .\multiotp -config ldap-bind-dn="CN=Administrator,CN=Users,DC=dragon,DC=com" .\multiotp -config ldap-server-password="2wsx@WSX" .\multiotp -config ldap-in-group="2FAVPNUsers" .\multiotp -config ldap-network-timeout=10 .\multiotp -config ldap-time-limit=30 .\multiotp -config ldap-activated=1 .\multiotp -debug -display-log -ldap-users-sync
使用Microsoft Authenticator 或者Google Authenticator扫描二维码
动态码每30秒更新一次
用户电脑安装multiOTPCredentialProvider#
打开 https://download.multiotp.net/, 点击credential-provider链接
填写multiOTP的URL和secret,secret和上面配置的multiOTP Server密码保持相同
填写multiOTP的URL和secret,secret和上面配置的multiOTP Server密码保持相同
重启电脑,验证OTP动态码#
