Есть ли какое-либо решение, которое поддерживает 2FA в OpenLDAP для аутентификации пользователей?

Question

В настоящее время мы используем SimpleSAMLphp для решения SSO в нашем php-приложении с OpenLDAP в качестве источника данных для аутентификации, и он работает нормально.

Теперь нам нужно реализовать 2FA в процессе входа в систему, поэтому я хотел знать, есть ли встроенная поддержка 2FA в OpenLDAP.

Я обнаружил, SimpleSAMLphp позволяет 2FA использовать модуль PrivacyIDEA , но он использует свой собственный механизм для генерации и проверки данных, но нам требуется все, что обрабатывается в SimpleSAMLphp и OpenLDAP, возможно ли это?

Answer 1

В моем Æ-DIR я использую собственное решение OATH-LDAP , которое добавляет данные токена в виде записей LDAP. В настоящее время валидатор поддерживает только HOTP на основе счетчика (см. RFC 4226 ). Это может быть использовано, например, с yubikey и для этого также доступен сценарий регистрации.

К сожалению, в настоящее время нет документации по использованию автономного OATH-LDAP в произвольной установке OpenLDAP.

Дайте мне знать, если вы хотите копаться в этом.

Answer 2

privacyIDEA может читать ваших пользователей и все необходимые атрибуты из OpenLDAP. Вы можете определить отображение атрибута для чтения любого произвольного атрибута из OpenLDAP.

В privacyIDEA вы можете определить политику , которая требует от пользователя ввода пароля LDAP плюс значение OTP.

Затем в simpleSAMLphp вы можете определить authsource как privacyIDEA. Таким образом, пользователь может аутентифицироваться со своим паролем LDAP и OTP в IdP. Если вы хотите, вы можете использовать параметр otpextra, чтобы даже использовать двухэтапное диалоговое окно, где пользователю сначала нужно ввести свой пароль LDAP, а затем его значение OTP.

Используйте отображение в модуле SAML privacyIDEA или фильтры authproc для дальнейшего сопоставления ваших атрибутов.

Answer 3

В качестве альтернативы вы также можете использовать PrivacyIDEA LDAP Proxy , чтобы по-прежнему использовать ldap:ldap источник аутентификации simpleSAMLphp, но «обогатить» его значением OTP.

Answer 4

Похоже, что OpenLDAP поддерживает TOTP (чаще всего называемый Google Authenticator) с модулем slapd.

Модуль для OpenLDAP может быть найден здесь . Статью, описывающую это, можно найти здесь . Документация по модулю кажется немного легкой, но сам модуль небольшой и достаточно читаемый.