關於帳戶的雙因素驗證
卡巴斯基安全管理中心 Linux 為卡巴斯基安全管理中心網頁主控台的使用者提供雙因素驗證。雙步驟身分驗證基於RFC 6238標準執行(TOTP:基於時間的一次性密碼演算法)。
每次登入卡巴斯基卡巴斯基安全管理中心網頁主控台時,您都需要輸入使用者名稱、密碼和一次性安全代碼。若要接收一次性安全碼,電腦或行動裝置上必須具有身分驗證器應用程式。
任何支援時效型一次性密碼演算法 (TOTP) 的身分驗證軟體都可以用作身分驗證應用程式,例如Google Authenticator。為了產生一次性安全碼,您必須將裝置上透過身分驗證應用程式設定的時間與管理伺服器裝置上設定的時間同步。為了提高準確性,我們建議在整個基礎設施中使用相同的NTP伺服器。
若要檢查卡巴斯基安全管理中心 Linux是否支援您要使用的身分驗證器應用程式,請嘗試使用此身分驗證器應用程式設定雙因素驗證。
其中步驟之一建議您指定由身分驗證應用程式產生的安全碼。如果成功,則 卡巴斯基安全管理中心 Linux 支援所選的身分驗證器。
使用身分驗證器應用程式產生密碼
驗證應用程式將產生安全碼,如下所示:
- 管理伺服器會產生一個特殊的秘密金鑰和 QR 碼。
- 您將產生的秘密金鑰或 QR 碼傳遞給驗證應用程式。
- 驗證應用程式產生一次性使用的安全碼,您將其傳遞到管理伺服器的身分驗證視窗。
安全碼具有名為簽發者名稱的識別碼。安全碼簽發者名稱用作驗證應用程式中管理伺服器的識別碼。您可以變更安全碼簽發者名稱的名稱。安全碼簽發者名稱的預設值與管理伺服器的名稱相同。下次登入後,管理伺服器將被指派一個新的安全碼簽發者名稱。安全碼為一次性,有效期最長為 30 秒(具體時間可能會有所不同)。
強烈建議將秘密金鑰(或 QR 碼)儲存在安全的地方。如果您丟失了行動裝置,這將有助於您恢復對卡巴斯基安全管理中心網頁主控台的存取。
雙因素驗證具有以下功能:
- 從管理伺服器版本 16.1 開始,雙因素驗證將自動啟用,並且預設停用登入時配置雙因素驗證的選項。只有包含在雙因素驗證允許清單中的使用者才能設定登入時雙因素驗證身分驗證。
- 使用者僅可以為其帳戶啟用雙步驟身分驗證。
- 使用者可以從雙因素驗證中排除帳戶。對於無法接收一次性身份驗證安全碼的整合帳戶來說,這可能是必要的。整合帳戶用於透過OpenAPI執行指令碼。
- 若要重新產生雙步驟身分驗證密鑰,使用者必須重設其自身帳戶的密鑰。
- 若要重設或刪除其他使用者帳戶的雙步驟身分驗證密鑰,該使用者必須擁有已設定雙步驟身分驗證的帳戶,並且在一般功能:使用者權限功能區域中擁有修改物件ACL權限。
- 若要將其他使用者的帳戶從雙步驟身分驗證中排除或修改雙步驟身分驗證允許清單,使用者必須擁有已設定雙步驟身分驗證的帳戶,並且在一般功能:使用者權限功能區域中擁有修改物件ACL權限。
- 雙步驟身分驗證僅在管理伺服器版本16.1中自動啟用。如果其他主管理伺服器或輔助管理伺服器執行的是16或更早版本,則它們的雙步驟身分驗證設定將保持不變。
- 虛擬管理伺服器會繼承實體管理伺服器的雙步驟身分驗證設定,因此,如果實體管理伺服器啟用了雙步驟身分驗證,虛擬管理伺服器也會啟用該功能。您無法在虛擬管理伺服器上配置雙步驟身分驗證設定。
- 要使雙步驟身分驗證正常運作,您需要將管理伺服器和網頁主控台升級到16.1或更高版本。
為了確保使用雙步驟身分驗證提供全面保護,不僅需要保護管理伺服器,還需要保護安裝該伺服器的裝置。為此,請參考強化指南建議。
頁頂