Guacamole认证方式介绍
Guacamole认证方式介绍
Guacamole是Apache提供的开源堡垒机平台(下简称guac),在部署guac服务后,如果不对服务的认证方式做一定的设置,可能会导致安全性问题,尤其堡垒机作为接入内网的一种手段,这种暴露了公网IP的服务带来的安全性问题尤其值得关注。
数据库认证
guac服务支持安装相关的extensions通过MySQL,PostgreSQL或者SQL Server等数据库对用户进行 认证。数据库认证还提供了额外的功能,比如负责均衡(load balancing)等。与默认的XML-driven的认证方式不同,数据库认证中针对用户、连接等作出的改变立即生效,用户无需重新登录。
数据库认证的认证方式是其他一些认证的基础,比如LDAP认证和双因子认证等。
通过MySQL认证
MySQL的安装、Guac与MySQL认证的extensions的配置这里略过,这里介绍一下认证的方式,主要是通过在guacamole.properties文件中添加相应的内容以加强密码来达到保护效果(Enforcing password policies)。
# MySQL# 密码最小长度mysql-user-password-min-length: 8# 密码必须包含大小写mysql-user-password-require-multiple-case: true# 密码必须包含特殊符号mysql-user-password-require-symbol: true# 密码必须包含数字mysql-user-password-require-digit: true# 密码不得与用户名相似,比如jack/jackNPS@#01也是不合法的mysql-user-password-prohibit-username: true# 改动密码不宜太频繁,最小7天mysql-user-password-min-age: 7# 90天后必须改新密码mysql-user-password-max-age: 90# 密码不得与前6次雷同mysql-user-password-history-size: 6
TOTP双因子认证
Guac支持TOTP双因子认证,它必须基于数据库认证的基础之上进行部署。
TOTP 认证过程
Guac支持TOTP作为第二个认证因子,用户需要首先通过第一层因子认证(如账户密码方式),才能进入TOTP认证,只有所有认证都通过才能登陆。
首先通过账户密码认证
接着通过TOTP认证
都通过后可以登录。
注册
用户首次登陆时,需要通过扫描二维码的方式进行TOTP注册以获取TOTP key
或者点击show获得密钥,然后手动输入
TOTP部署
通过链接下载guacamole-auth-totp-1.1.0.tar.gz。
解压后,将guacamole-auth-totp-1.1.0.jar放入/etc/guacamole/extensions。
重启Tomcat后生效。
- 点赞
- 收藏
- 关注作者
评论(0)