OpManager中的双因素身份验证

双重身份验证 (TFA) 通过要求用户提供通过身份验证器应用生成的唯一基于时间的一次性密码 (TOTP) 或作为一次性密码 (OTP) 发送到用户配置的电子邮件地址,提供额外的身份验证级别并提高安全性。TFA 加强了身份验证并防止未经授权的访问。

注意:此功能可从OpManager版本125415可用。

OpManager中配置TFA的步骤

  1. 转到设置 - >常规设置 -> 身份验证 ->双因素身份验证。
  2. 选择“启用双因素身份验证 (TFA)”选项。
  3. 选择所需的身份验证模式:身份验证器应用程序(通过身份验证器应用程序的 TOTP,包括但不限于 Google 身份验证器、Microsoft 身份验证器、Duo 等)或电子邮件身份验证(OTP 发送到用户配置的电子邮件地址)。
    注意:需要为电子邮件身份验证模式配置邮件服务器设置。
  4. 输入您希望允许用户的浏览器受信任的天数。也就是说,用户在登录该浏览器时无需提供 TOTP/OTP 指定的天数。如果用户在登录期间选中该复选框以信任浏览器,这将适用。
  5. 点击“保存”。
    注意:如果选择“认证 Apps”作为身份验证模式,则系统将提示所有用户在下次登录时设置其认证应用。

    如果“身份验证器应用”是所选的身份验证模式:

  6. 在下次登录期间,安装并按照屏幕上显示的步骤在移动设备上配置所需的 认证应用程序。
  7. 输入在认证应用程序/电子邮件中生成的 OTP 进行登录。

疑难解答步骤

  • 在基于 TOTP 的身份验证的情况下,
    • 由于 TOTP 是基于时间的,因此配置的移动设备中的时间必须与服务器时间同步。
    • 如果由于配置的移动设备丢失或任何其他此类原因而需要新的 TOTP 密钥,管理员用户可以转到设置 -> 常规设置 -> 身份验证,然后单击相应用户的“操作”下的“重置 TOTP 密钥”图标。
    • 如果默认的“admin”用户无法登录产品,并且丢失了配置的移动设备,请执行以下脚本ResetSuperAdminTOTP.bat/sh以重置超级管理员密码。
  • 在基于电子邮件的身份验证的情况下,
    • 当身份验证模式被选为“电子邮件”时,OTP 将通过电子邮件发送到用户配置的电子邮件 ID。因此,请确保您配置了正确的电子邮件ID。如果配置的电子邮件 ID 不正确,管理员用户有权配置正确的电子邮件 ID。
    • 如果由于邮件服务器配置更改,用户无法通过电子邮件接收 OTP,请执行以下脚本DisableTFA.bat/sh以暂时禁用 TFA。

执行脚本的步骤

在某些情况下,邮件服务器在通过邮件发送 OTP 时可能会出现问题。或者,如果配置了 TOTP 身份验证器应用程序的移动设备丢失或无法访问。在这种情况下,由于无法传递OTP提示符,因此无法访问OpManager服务器UI。

在这种情况下,对于早于版本 127257 的版本,请联系我们的支持人员。从版本127257及更高版本开始,请按照以下步骤操作:

  • 完全停止OpManager服务并打开<OpManager_Home>/logs/wrapper.log文件,并检查文件末尾是否有以下行可用。这是为了确保OpManager服务完全停止。
  • 对于Windows,在OpManager安装的服务器计算机中以管理员用户身份打开命令提示符。对于 Linux,请以 root 用户身份打开终端。
  • 导航到 <opmanager_home>/bin 目录并执行脚本文件。
  • 将显示一个提示,以提供超级管理员用户密码以验证操作。
  • 成功执行脚本后,将显示成功消息。

可能的错误和解决方法

访问被拒绝。请使用管理员权限执行此脚本。

  • 对于Windows,该脚本应以管理员用户身份在OpManager安装的机器中执行。对于 Linux,需要 root 用户访问权限才能运行脚本。如果访问不足,将显示上述错误消息。

服务器当前正在运行。请关闭服务器以运行此脚本。

  • OpManager服务应完全停止才能运行脚本。通过服务或执行<opmanager_home>/bin/shutdown.bat/sh脚本停止OpManager服务。
  • 打开 <OpManager_Home>/logs/wrapper.log 文件,并检查文件末尾是否有以下行可用。这是为了确保OpManager服务完全停止。

超级管理员用户密码无效

提供的超级用户用户密码无效。任何进一步的操作都将受到限制,脚本执行将终止。应提供有效的超级管理员用户密码才能成功执行操作。