简介:
系统为租户提供三种认证方式:
- 证书认证
- 用户名密码认证
- 双因子认证
默认情况下,仅支持证书认证或者用户名密码认证,如果需要进行双因子认证,需要为租户配置开启双因子认证。开启双因子认证时,证书认证通过后还需要进行密码认证,密码不正确则用户认证失败,断开连接。
总体框架:
证书签发:
- 客户端证书签发
云管平台预置和SSL网关相同的自签名CA证书和CA私钥,并部署openssl环境,用户注册时为用户签发客户端证书。该方法涉以下几个步骤:
1、云管平台预置和SSLVPN服务器相同的自签名的CA证书和CA私钥
2、发起SSLVPN用户注册
3、云管平台为该注册用户成为全局唯一uuid,唯一标识一个用户
4、云管平台为该注册用户签发用户证书和用户私钥,并使用预置的CA进行签名,同时将用户uuid签发进客户端证书,用于证书认证时识别用户,用户使用证书拨号时不感知uuid。
5、云管平台为该注册用户提供用户证书下载链接
- 服务端证书签发
SSLVPN服务器预置自签名CA证书和CA私钥,并部署openssl环境,用户创建SSLVPN网关时,SSLVPN服务器为SSLVPN网关签发服务端证书。该方法涉以下几个步骤:
1、SSLVPN服务器预置自签名的CA证书和CA私钥
2、发起创建SSLVPN网关
3、云管平台下发SSLVPN网关的IP和端口信息到SSLVPN服务器
4、SSLVPN服务器创建SSLVPN网关
5、SSLVPN服务器为SSLVPN网关签发网关证书,将SSLVPN网关的IP签发进证书,并使用预置的CA证书进行签名,将网关证书存储在SSLVPN服务器并加载到当前创建的SSLVPN网关上下文,用于用户拨号时的双向认证
用户认证流程:
- 用户名密码认证
- SSLVPN证书认证
- 双因子认证
应用场景:
员工远程办公或者出差场景下,需要接入云内网络,并访问相应的资源,如图所示。对于SSL VPN接入需要进行证书认证,认证通过后方可访问相应资源。