1.需求分析
問題描述
員工在內外網辦公環境下藉助VMWare View訪問虛擬桌面資源
很多人仍然採用初始密碼或者過於簡單的靜態密碼登錄
弱口令容易的內網信息系統泄漏事件
制執行員工定期更換域登錄密碼計劃引起很多人的不滿
實現目標
提升VMWare View用戶登錄安全,消除弱身份鑑別帶來的潛在信息泄漏風險
減小靜態密碼遺忘或定期強制更改登錄密碼給員工與IT管理人員帶來的開銷,節約企業管理成本做到用戶登錄可審計,明細職責
2. 解決方案
2.1 方案介紹CKEY動態密碼認證是雙因子認證的一種方式, VMWare View用戶在原有域賬號密碼認證基礎之上增加一層動態密碼認證,形成雙因子認證,以此提升VMWare View用戶接入認證安全。與以往只提供一種硬件令牌雙因子認證方案相比,CKEY可以讓客戶選擇如下三種動態密碼形式的一種或者多種:
、短信密碼:通過短信將隨機密碼發至用戶手機,無需安裝軟件、無需攜帶額外硬件設備;
、手機令牌:動態密碼生成手機客戶端程序,支持iOS、Andriod、WP7,無使用成本;
、硬件令牌:時間型、每隔60秒產生一個動態密碼,無按鍵式、36個壽命;
在爲用戶提供安全認證的同時,提升使用便捷性,CKEY已成爲國內VMWare View用戶首選方案。
2.2 拓撲結構
2.3 系統組成
認證流程
1、輸入Vmware View賬號及密碼(AD/LDAP)中,並提交認證;
2、Vmware View通過radius協議將帳號和加密後的口令提交給CKEY DAS進行認證。
3、CKEY DAS將接收到的帳號與口令拿到LDAP上面去鑑權,如果鑑權成功,則CKEY DAS通過Radius協議通知Vmware View彈出二級認證頁面,如果短信方式,則同時出發短信隨機碼至用戶手機;
4、用戶將動態密碼(短信接收或令牌產生),填入二級認證頁面,並提交至CKEY DAS進行鑑權;
3、幾種VMWare View雙因素認證方式對比
4、實施步驟
備註:
(1)VMWare View相關配置由客戶方完成,由中科恆倫提供相關文檔支持,實施需VMWare配置工程師一名。
(2)實施過程需管理員協助開通相關網絡端口訪問權限及賬號;