亚马逊AWS官方博客

手把手教你快速将宁盾双因素认证(MFA)与 Amazon WorkSpaces 集成

在这篇博客文章中,我们将展示如何配置 Amazon WorkSpaces的双重身份验证。Amazon WorkSpaces是一个托管的,安全的云桌面服务。您可以使用 Amazon WorkSpaces 在几分钟内提供 Windows 或 Linux 桌面。有了Amazon WorkSpaces,你可以迅速扩大规模,为全球的员工提供数千台台式机。

MFA 为用户名和密码(第一个“因素”)增加了额外的保护层。使用 MFA 时,必须输入身份验证码(第二个因素) ,这是由 MFA 解决方案提供的。

对于 Amazon WorkSpaces 上的 MFA,您需要一个remote authentication dial-in user service(RADIUS),也就是远端用户拨入验证服务系统,该系统可以验证一次性密码。现在您可以使用AWS Marketplace上的Nington DKEY AM For TWO-FACTOR实现Amazon WorkSpaces的双重身份认证。宁盾身份管理服务 (DKEY AM) 提供面向企业办公以及消费者两种场景,支持双因素认证、Wi-Fi认证、统一身份与单点登录管理等核心功能。 双因素支持手机令牌认证、短信认证、推送认证等,良好兼容性方便不同品牌设备及应用对接,最终实现云主机、网络、SAAS及私有应用的统一接入,身份安全保护,简化管理成本。

解决方案概述

这是在 Amazon WorkSpaces 中使用宁盾双因素认证的流程:

步骤1和2:用户通过宁盾APP获得MFA一次性密码。

第3步:WorkSpaces 客户端将第一个因素域用户名和密码以及第二个因素的一次性密码发送到 AWS 目录服务。

步骤4和5:AWS 目录服务检验第一个因素的AD域凭据。

步骤6:AWS 目录服务将第二个因素的一次性密码发送到宁盾RADIUS 服务器。

步骤7:宁盾RADIUS 服务器验证MFA一次性密码。

步骤8:完成双重身份验证,用户访问Amazon WorkSpaces云桌面。

 

先决条件

在开始之前,你需要在AWS环境配置了Amazon WorkSpaces,详见 快速上手 Amazon WorkSpaces 云中的虚拟桌面

 

部署演示

步骤一:部署宁盾双因素认证管理服务

在AWS EC2控制台上启动实例并搜索Nington DKEY AM For TWO-FACTOR,选择该AMI并进行部署。Nington DKEY AM For TWO-FACTOR 产品详情页面:https://awsmarketplace.amazonaws.cn/marketplace/pp/prodview-mnvsiwqabbjsqz?ref=cns_srchrow

步骤二:配置宁盾认证平台

  • 通过浏览器输入http://IP:8001 ,即可访问平台软件,登录账户admin,密码为实例id:i后面的随机码。

 

  • 导入License。点击页面右上角的齿轮,点击左侧的导航栏菜单“授权信息”,选择增加授权。若需要申请授权,请访问宁盾官方主页http://www.nington.com/products/nd-mfa/

 

  • 在本次演示中,我们使用邮件接收令牌。在步骤3的页面上,点击左侧的导航栏菜单“邮箱配置”配置邮箱。若条件允许,最好使用公司内部邮箱。若使用个人邮箱,过多的派发令牌邮件可能会被判定为垃圾邮件。

 

  • 点击左上角的“站点”,添加站点。以下步骤的所有操作都要进入站点内部执行,点击名称即可进入站点内。

 

  • 导入AD域。点击站点名称进入站点—点击“用户”—“外部用户”—“导入”—“标准AD”。本次演示中使用的是AWS托管的Microsoft Active Directory服务,详见文档。该示例中,我们导入AWS托管的AD,名称是ZHY-AD,服务器地址和备用服务器地址是AWS Directory Service的两个冗余DNS地址。用户名DN则是服务域账号。默认配置下,AD域以及LDAP外部数据库,每天凌晨两点自动同步信息。也可支持手动同步,点击AD域名称—“编辑”—“同步”即可。目前宁盾7.5及以上版本以实现,当AD域内删除或禁用某一个用户,认证平台自动解除该用户下的MAC地址绑定关系。

 

  • 创建双因素认证策略。点击“双因素认证”—“策略”—“添加”,去创建一个新策略。需要注意的是,AWS 目录服务会认证第一个因素的AD域凭据,所以我们需要在该策略里禁用静态密码认证。如下图:

 

  • 添加双因素认证设备。点击“双因素认证”—“设备”—“添加”。图中“选择认证策略“一项选择我们在上一步创建的策略,“设备地址“和”额外地址“是AWS 目录服务的两个冗余DNS地址。另外,RADIUS协议利用共享密钥对RADIUS报文中的密码进行了加密,AWS 目录服务要求共享密钥的长度必须介于 8 到 512 之间。

步骤三:配置AWS Directory Service域控制器的安全组

进入EC的控制台,左侧导航图展开“网络与安全”,选择“安全组”。在右侧的搜索框里搜索需要配置多重身份验证的目录 ID,选择域控制器的安全组,如下图所示,点击编辑出站规则:

 

增加一条出站规则,允许UDP协议的1812端口,目标一栏填写宁盾实例的私有IP地址,详见文档“为 AWS Managed Microsoft AD 启用多重验证”。

步骤四:配置AWS Directory Service的多重身份验证

登陆Directory Service控制台,选择需要配置多重身份验证的目录,如下图,点击网络和安全性。

 

下滑到“多重身份验证”,点击操作,选择启用。

RADIUS服务器填写宁盾实例的DNS或者私有IP地址,端口填写1812,填写之前在宁盾平台设置的共享密钥,身份验证协议使用PAP,配置如下图,然后点击启用即可。

启用后即开始连接宁盾实例的RADIUS服务器,连接成功后如下图所示:

 

步骤五:派发令牌

在上面的步骤中,我们已经配置了邮箱,现在我们可以尝试派发令牌。回到宁盾认证平台,左侧导航图展开“双因素认证”,选择“令牌”。右侧菜单选择“派发手机令牌”,选择对应的AD域用户,点击派发。邮件将会发送到该用户的邮箱地址上。

点击“确定”派发令牌。

邮件里包含手机令牌APP的下载地址和二维码,使用手机令牌APP扫描邮件中的二维码,即可获得MFA一次性密码。

 

步骤六:使用双重身份验证登陆Amazon WorkSpaces

启用 MFA 后,Amazon WorkSpaces 客户端将提示输入 MFA 代码。如下图所示,输入AD域用户名密码和手机令牌APP上的MFA代码,双因素验证成功后即可登陆Amazon WorkSpaces。

总结

在这篇博文中,我们演示了如何将宁盾双因素认证(MFA)与您的活动目录集成。使用宁盾双因素认证,你可以使用安全的双重身份验证登陆到您的Amazon WorkSpaces。若是在生产环境中,您还可以在不同的可用区中部署宁盾认证平台的备机,提高可用性。

本篇作者

吴金福

AWS 混合云方案架构师,负责基于AWS的混合云方案架构的咨询和设计。在加入AWS之前,就职于大型集团企业。负责私有云数据中心的方案设计和建设,在数据中心基础设施、虚拟化、高性能计算和混合云等领域有着多年的经验积累。