我已经在互联网上搜索了漏洞,但找不到任何好的答案。
场景:我有一个可以从 Internet 访问的 Intranet 网站。我在 dmz 前面添加了一个基于 Linux / Apache 的反向代理。
目标:使用谷歌身份验证器使用真正的两因素身份验证系统登录到反向代理(不像在这个howto中什么是单因素身份验证: http: //www.blogbyben.com/2012/02/getting-google-authenticator-和-apache.html)。登录到反向代理后,登录令牌被转发到内网网站。
任何的想法?
谢谢你!
“真正的两个因素”是指您想要用户名、密码和令牌——而不仅仅是用户名和令牌,对吧?
所以,这里有一个选项 - 可以在 linux 上配置 PAM 以要求密码,该密码是密码和代码的串联。请参阅:http: //google-authenticator.googlecode.com/git/libpam/README然后您可以通过 PAM ( http://pam.sourceforge.net/mod_auth_pam/configure.html ) 使用 apache 身份验证作为 apache 的身份验证反向代理,瞧。
现在,我实际上还没有尝试过,并且它可能每次都会尝试验证密码(因此您将在代码变为无效之前只登录一个请求!),那么您将要使用mod_auth_pam 与 mod_auth_form 结合使用,允许您设置会话 cookie 以在会话有效时绕过密码检查。
我已经实现了类似的东西,但还不是所有的部分。
很想知道你是否让它工作!