问题标签 [multi-factor-authentication]

我正在尝试编写一个连接到数据库的 python 脚本，但是只有在您首先通过 SSH 连接到堡垒主机时才能访问该数据库。从命令行，这是我必须做的设置隧道：

我使用这个sshtunnel 库创建了一个 python 脚本来做同样的事情。有用：

产生：

但现在我需要使用不同的数据库和堡垒组合。这个堡垒具有 2 因素身份验证 (2FA) 设置，因此当我 ssh 到它时，它会询问我选择哪种 2FA 方法。如果我选择方法 #1，它会向我的 android 手机发送一个推送通知，我必须批准：

但是，当我尝试使用 sshtunnel 以与启用 2FA 的堡垒完全相同的方式设置隧道时，它会失败：

如果 SSH 到该主机需要 2FA，我如何编写 python 脚本通过 SSH 隧道连接到 Mysql DB？

我已经管理一个 AWS 账户大约一年了。典型的“最佳实践”安全设置：

• 1 个根帐户
• 多个非 Root 帐户，包括我每天使用的一个
• 所有使用 MFA 的帐户（我个人使用 Google Authenticator 应用程序）

我现在想将整个 AWS 账户（根账户和全部）的“所有权”转让给其他人。虽然我当然可以为他们提供用户名 + 密码以以 Root 身份登录，但他们也需要 MFA 设置。

我能想到的唯一方法是：

1. 在 Root 帐户上禁用 MFA
2. 为他们提供 Root 帐户的登录信息
3. 相信他们会尽快重新启用 MFA

AWS Web 控制台是否提供了更好的解决方案？我什至不确定是否可以在设置后禁用帐户上的 MFA（更不用说 Root）...

提前致谢！

我们将 Azure AD B2C 自定义策略与我们的 Web 应用程序结合使用。当我们在应用程序上进行重要事务时，即使用户已登录，我们也希望能够在提交事务之前验证这是正确的用户。例如，我们可以向用户的手机发送一个代码，并要求他在应用程序中输入代码（在他执行交易的表单上）。

这是可以通过 Azure AD B2C 自定义策略实现的吗？MFA 电话因素扩展？

我同时使用 boto3 和保证库来尝试让设备经过身份验证以在识别后跳过多因素身份验证。我已经通过了用户/密码验证，但似乎无法找出验证设备的正确方法。以下是我的代码：

然后在干净的会话中，执行以下操作：

一切似乎都正常工作，直到最后respond_to_auth_challenge导致： botocore.errorfactory.NotAuthorizedException: An error occurred (NotAuthorizedException) when calling the RespondToAuthChallenge operation: Incorrect username or password.

我是否应该使用不同的用户/通行证来DEVICE_PASSWORD_VERIFIER应对我未包括在内的挑战？文档有点轻，只是说：

DEVICE_PASSWORD_VERIFIER: Similar to PASSWORD_VERIFIER, but for devices only. 资源

我正在使用 Aspnet Boilerplate 来管理多租户系统。我目前正在尝试打开 2 因素身份验证，该身份验证已包含在样板文件中。我已经登录到主机并打开了 2FA（因为我知道它不能在租户中打开，除非它首先在主机中打开）。 主机 2 因素设置 执行此操作后，我现在可以看到在每个租户（我有）中打开 2FA 的设置。我的问题是，虽然确实按预期要求主机用户提供代码，但从来没有租户用户。这行代码：

永远不会RequiresTwoFactor == true为租户用户返回。我无法深入了解那个电话，所以我不知道到底发生了什么，但我想知道是否有人可以告诉我关于为租户打开 2FA 的一些信息。

我正在使用 Aspnet Boilerplate 来管理多租户系统。我目前正在尝试打开 2 因素身份验证，该身份验证已包含在样板文件中。我已经登录到主机并打开了 2FA（因为我知道它不能在租户中打开，除非它首先在主机中打开）。完成此操作后，我现在可以看到在每个租户中打开 2FA 的设置（我已经这样做了）。我的问题是，虽然确实按预期要求主机用户提供代码，但从来没有租户用户。我已将其缩小到以下问题。成功登录后，这称为：

这总是返回RequiresTwoFactor == false。这样做的原因是，在此调用中，调用：

依次调用 .NET Core 中的同名函数。此调用返回一个空列表，这意味着我没有注册 TwoFactor Providers。这很奇怪，因为作为主机登录我得到了提供者，但作为租户它返回空。有什么我想念的为什么会发生这种情况。此外，那些（电子邮件和短信）提供商首先在样板代码中的确切位置注册？

对于我的生活，我似乎无法让这个功能发挥作用。

我的用户身份验证流程 --> 用户注册 --。用户确认电子邮件地址 --> 设置 MFA --> 重定向到主页。

这是我的 AWS 身份验证服务：

我可以有效地注册和登录，但由于某些奇怪的原因，当我尝试生成 setupTOTP 函数时出现以下错误：

TypeError：无法在 AuthClass.push../node_modules/@aws-amplify/auth/lib/Auth.js.AuthClass 的新 ZoneAwarePromise (zone.js:891) 处读取未定义的属性“associateSoftwareToken”。 setupTOTP (Auth.js:688) at AwsAuthService.push../src/@fuse/services/aws-auth.service.ts.AwsAuthService.generateTOTP (aws-auth.service.ts:126) 在 TotpComponent.push.. /src/app/main/pages/authentication/totp/totp.component.ts.TotpComponent.ngOnInit (totp.component.ts:61) 在 checkAndUpdateDirectiveInline (core.js:9250) 在 checkAndUpdateNodeInline (core.js:10514) 在checkAndUpdateNode (core.js:10476) 在 debugCheckAndUpdateNode (core.js:11109) 在 debugCheckDirectivesFn (core.js:11069)

我有一个 MS 提供的 powershell 脚本，我已经对其进行了编辑。真正的形式 MS 提供了一个使用旧代码的脚本。由于我们启用了 MFA，我不能再使用 Get-Credential 进行身份验证，因为我们使用的是 Modern Auth 而不是 Basic。如何编辑代码以支持 MFA？我们不使用 Auzer MFA，我们使用 Duo。

旧代码：

新命令应该是 Connect-IPPSSession 而不是 New-PSSession 但我必须以某种方式更改 Get-Credential 以传递凭据和 MFA 我只是不知道该怎么做。

在基本身份验证下，您曾经能够将凭据存储在变量中

现在我们使用的是 Modern Auth，我们的 Multi Factor Authentication 是 Duo。

如何将我的 MFA 凭据存储到变量中，以便将它们插入脚本？

例子

编辑 我不想绕过 MFA，我想提示它并以脚本的其余部分可以使用凭据和令牌的方式存储凭据和令牌。

我一直在尝试让 MFA 与 kubectl 合作，以保护对 AWS 中 EKS 主机的访问。文档似乎暗示这是可能的，但我遇到了问题，我无法弄清楚。

没有什么特别的，我可以连接到我的 EKS 集群：

如果我将 MFA 添加到 AWS CLI，请遵循以下帖子：

如何将 MFA 与 AWS CLI 结合使用？

https://docs.aws.amazon.com/cli/latest/userguide/cli-roles.html

我像这样设置我的本地凭据：

...然后我可以看到 AWS CLI 具有 MFA：

然后我可以验证：

kubectl 仍然正常工作，因为它还没有使用配置文件：

然后我按照这个文档设置 k8s 以使用配置文件

所以现在当我尝试kubectl它时，它要求 MFA，但它永远不会满足：

AWS 角色test_assumeRole如下所示：

相关政策test_assumePolicy如下：

所以，问题：

• 我需要将其中任何一个附加到 IAM 用户吗？文档似乎不建议这样做。
• 我在这里缺少什么来让它运行？它似乎几乎正确接线。