1.Скачиваем multiOTP и CredentialProvider тут.
(В архиве находятся версии под Linux, Raspberry и Windows, инструкция базируется на Win.)
2. Папку “windows” распаковываем где-нибудь на диске.
3. Далее открываем cmd с правами админа, указав путь до multiotp.exe, вставим туда следующую конфигурацию:
multiotp -config default-request-prefix-pin=0 multiotp -config default-request-ldap-pwd=0 multiotp -config ldap-server-type=1 multiotp -config ldap-cn-identifier=sAMAccountName multiotp -config ldap-group-cn-identifier=sAMAccountName multiotp -config ldap-group-attribute=memberOf multiotp -config ldap-ssl=0 multiotp -config ldap-port=389 multiotp -config ldap-domain-controllers=ldap://dc.domain.local:389 multiotp -config ldap-base-dn=DC=point,DC=local multiotp -config ldap-bind-dn=CN="LDAP Account",CN=Users,DC=domain,DC=local multiotp -config ldap-server-password=qwerty7! multiotp -config ldap-in-group= multiotp -config ldap-network-timeout=10 multiotp -config ldap-time-limit=30 multiotp -config ldap-activated=1 multiotp -config server-secret=secret multiotp -config server-cache-level=1 server-cache-lifetime=155553000 multiotp -debug -display-log -ldap-users-sync
Где multiotp -config ldap-bind-dn= нужно указать УЗ, которая подключится Active Directory
А здесь, multiotp -config server-secret=, указываем секретное слово для подключения к серверу miltiOTP
!!ВАЖНО!!
При добавлении новых учетных записей в Active Directory, нужно повторно выполнить команду
multiotp -debug -display-log -ldap-users-sync
Стоит создать запланированную задачу, которая будет проверять наличие новых пользователей автоматически.
4. В этой же папке ищем исполняемый файл webservice_install.cmd и запускаем с правами администратора, нас перекинет на веб-интерфейс.
Не забудь сменить пароль:)
5. Залогинившись, видим список всех УЗ домена, нажимаем print возле учетки, которую хотим настроить.
Для аутентификации можно использовать мобильные решения от Microsoft, Google или любое другое.
Для этого можно считать второй QR код или вписать seed с устройства владельца УЗ.
Установка multiOTP-CredentialProvider
Для того чтобы всё это начало работать, установим CredentialProvider.
- Указываем IP сервера, на котором был установлен multiOTP.
В нижнее поле впишем секретное слово из конфигурации multiOTP.
2. Включим требуемые настройки.
3. Next >> Install
4. Проверить корректность работы 2fa для настроенного пользователя
На этом настройка двухфакторной авторизации окончена.
Собственно сам результат:
Подробнее о всех features и конфигах multiOTP можно найти тут.
!!ВАЖНО!!
Для сервера multiOTP стоит создать локального пользователя с правами администратора с параметром (
), на всякий случай, чтобы можно было попасть на сервер, если multiOTP перестанет работать. Или же оставить любые другие backdoor-ы, которые будут более надежными, по Вашему мнению.