לאחרונה סיימתי פרויקט אינטגרציה לטובת Secure Remote Access אשר כלל הטמעת מכונות Juniper MAG בתצורת (High Availability (HA והטמעת תשתית PKI מאובטחת.
מנגנון ההזדהות היה מבוסס על Two-factor authentication:1.השלב הראשון דרש Certificate בתוקף אשר הונפקה משרת ה-Enterprise CA.
2.השלב השני דרש אימות מבוסס Active Directory Credentials.
בסיום הפרויקט ביצעתי מספר בדיקות חוסן למערכת כאשר נוכחתי לגלות כי ניתן להשתמש ב-Credentials של משתמש מסוים ואילו לבצע את האימות השני באמצעות תעודה של Userנוסף אשר נמצא באותה קבוצה
(Active Directory Group)-דבר המאפשר ביצוע מניפולציות שונות בקרב המשתמשים.
קיים פתרון אלגנטי לסוגיה-כאשר המשתמש יבצע Sign in למערכת, ה-Juniper ייקח את ה-User Name מהתעודה הדיגיטלית ויעביר אותו לשלב השני (הזדהות מול Active Directory)..
למעשה המשתמש יראה רק חלון עם אפשרות להזין סיסמה ללא אפשרות להזין שם משתמש.
בתצורה זו משתמש שיש לו תעודה אשר הונפקה עבורו לו לא יוכל לבצע Sign in עם שם משתמש וסיסמה השייכים לאדם אחר.
את ההגדרה מבצעים ברמת ה-Juniper:
1.יש להיכנס ל-User Authentication Realms ולבחור ב-Realm המדובר.
2.יש לגשת ל-Genera->Additional authentication server
3.יש להוריד את הסימון של תיבת ה -".specified by user on sign-in page" .
מנגנון ההזדהות היה מבוסס על Two-factor authentication:1.השלב הראשון דרש Certificate בתוקף אשר הונפקה משרת ה-Enterprise CA.
2.השלב השני דרש אימות מבוסס Active Directory Credentials.
בסיום הפרויקט ביצעתי מספר בדיקות חוסן למערכת כאשר נוכחתי לגלות כי ניתן להשתמש ב-Credentials של משתמש מסוים ואילו לבצע את האימות השני באמצעות תעודה של Userנוסף אשר נמצא באותה קבוצה
(Active Directory Group)-דבר המאפשר ביצוע מניפולציות שונות בקרב המשתמשים.
קיים פתרון אלגנטי לסוגיה-כאשר המשתמש יבצע Sign in למערכת, ה-Juniper ייקח את ה-User Name מהתעודה הדיגיטלית ויעביר אותו לשלב השני (הזדהות מול Active Directory)..
למעשה המשתמש יראה רק חלון עם אפשרות להזין סיסמה ללא אפשרות להזין שם משתמש.
בתצורה זו משתמש שיש לו תעודה אשר הונפקה עבורו לו לא יוכל לבצע Sign in עם שם משתמש וסיסמה השייכים לאדם אחר.
את ההגדרה מבצעים ברמת ה-Juniper:
1.יש להיכנס ל-User Authentication Realms ולבחור ב-Realm המדובר.
2.יש לגשת ל-Genera->Additional authentication server
3.יש להוריד את הסימון של תיבת ה -".specified by user on sign-in page" .
אין תגובות:
הוסף רשומת תגובה