how to configure windows login to get OTP as password
I searched a little and understand that its possible,But i couldn't find any clue of how to do it.Also can i use any server that works or it must be something like SafeNet's blackShield server?
What i'm looking for is not how to develop it.I'm looking for architecture model or a document that i couldn't find about what it needs and how to integrate the authentication server whether its developed by my company or any other company with windows.problem is i don't know what to look for.it must be with Radius?
PS: I'm a developer who works on a AAA application.We have a server for authentication.
Существует старая концепция Microsoft, позволяющая серверу OTP регистрировать сертификат на кратковременный вход в систему Windows Client. Таким образом, пользователь на Windows-клиенте фактически будет использовать PKINIT для получения своего билета kerberos - используйте сертификат для входа в систему. https://technet.microsoft.com/de-de/library/gg637807(v=ws.10).aspx
Вам все еще нужно настроить CA. Сервер OTP должен быть способен запрашивать сертификат от имени входящего в систему пользователя...
Таким образом, часто это реализуется другим способом. Также решение, которое я разработал(!) и с которым работаю, работает по-другому. На клиента устанавливается дополнительный Credential Provider. В этом случае privacyIDEA Credential Provider сначала проверяет значение OTP на сервере privacyIDEA. Если это удается, то провайдер учетных записей использует пароль windows для выполнения обычного входа в домен на основе паролей windows. Это работает довольно гладко без настройки сложных окружений - никакой PKI.
Недостатком такого подхода является то, что
- пользователь не избавляется от пароля домена
- билет kerberos по-прежнему выдается на основе пароля доминанта
- оффлайн-функции ограничены.
Но с другой стороны, если вы собираетесь настраивать CA/PKI, как предлагает Microsoft, почему бы не зарегистрировать смарт-карты в первую очередь? Это отличное решение!
Я думаю, что есть новые концепции для OTP, мне любопытны другие ответы.
Невозможно заменить пароль Windows на OTP. Еще одна сторонняя альтернатива - Rohos Logon. Разнообразие методов и политик: вы можете настроить конфигурацию OTP для каждого пользователя / группы, использовать OTP по SMS / электронной почте. Объедините токены OTP +, Yubikey OTP и Google Auth OTP. Зарегистрируйте OTP через PowerShell. Он позволяет заменять пароль на OTP (как метод 1FA), но при этом пароль будет использоваться в фоновом режиме кредитным провайдером Rohos, который работает на каждой рабочей станции, и сервером аутентификации OTP на расширениях схемы DOmain Controller + AD. Также поддерживаются автономные рабочие станции.