双重身份验证增加了额外的安全层,以防止有人知道他们的密码,在用户不知情的情况下访问用户的会话。
两个不同因素的组合用于实现更高的安全级别:
- 用户的账号密码
- 用户的设备 – 如智能手机 ( 安装了身份验证应用程序)
目前HuiiRDP+支持以下几种身份验证Apps:
- 谷歌身份验证程序
- 微软身份验证程序
- 短信身份验证(目前支持Twilio短信包)
注意:
- 目前双因素身份验证功能仅支持HuiiRDP+ 企业版本的HTML5登录方式,不支持远程桌面客户端登录方式。
- 为了提供更安全的解决方案,启用了2FA的用户将拒绝再使用RDP连接;
激活双重身份验证加载项许可证 #
可以在 AdminTool 的加载项选项卡上找到双因素身份验证功能:
默认我们提供10用户30天的试用,请参照激活程序激活您的授权(参考链接):
若激活授权过程存在任何问题,请联系我们的客服人员进行技术支持。
启用双重身份验证 #
按以下步骤 启用HuiiRDP+ 服务器的双因素身份验证功能。
1) 打开双因素身份验证管理应用程序,将显示双重身份验证状态和许可证状态:
默认情况下,为 HuiiRDP+ 网关和单独应用程序服务器的 2FA双因素身份验证。
或者“只启用HuiiRDP+应用程序服务器的2FA双因素身份验证:
或禁用它:
添加用户和组权限 #
启用双重身份验证后,您可以配置用户是否启用双因素身份验证:
1) 从双因素身份验证管理应用程序中,单击”管理用户“选项卡。
2) 然后,单击“添加“以选择用户和/或用户组。将打开”选择用户或组“框。
3) 根据需要添加尽可能多的用户和组,然后单击”确定“。用户和组将添加到列表中,并启用双因素身份验证。
编辑用户权限 #
在同一磁贴上,您可以通过选择用户并单击”编辑”按钮来编辑用户接收验证码的方式:
默认情况下,用户在身份验证应用上收到验证码。您也可以选择通过 SMS 接收它,通过选择选项并在下面的字段中添加用户的电话号码。
删除用户和组权限 #
要删除用户或组,请选择用户或组,然后单击”删除“。将显示确认消息。
单击“是”。用户或组将从其列表中删除,并且不再使用双因素身份验证进行连接。
重置用户的配置 #
如果用户丢失身份验证设备,或者用户需要再次显示机密 QR 代码并绑定设备,则必须重置用户身份验证设置。
1) 从双因素身份验证管理应用程序中,单击”管理用户”选项卡。
2) 选择一个或多个激活的用户,然后单击重置。将显示确认消息:
3) 单击“是”。所选用户将在下次登录时收到新的QR码,并且必须扫描其设备的身份验证应用程序绑定验证设备。
您也可以修改用户的电话号码,以便他可以在他的新设备上接收验证码。
注册用户进行双重身份验证 #
启用用户使用双因素身份验证后,激活消息将显示在其下一次成功登录HuiiRDP+ Web 门户的登录位置。
为了完成所需的步骤,您有两个选择:要么通过验证器应用程序生成代码,要么让用户通过 SMS短信 接收代码。
如果您采用的是通过验证器应用程序来验证,请在移动端设备上打开验证器应用程序并扫描以上二维码,并输入相应的数字验证码,成功后此登录账号将与该移动设备上的验证器应用进行了绑定。
若您采用的是短信验证方式,请跳至第九部分完成短信后台的配置工作。
使用身份验证器应用程序接收代码 #
用户必须在便携式设备上(如智能手机)上安装身份验证器应用,您可以使用以下身份验证器应用之一:
- 谷歌身份验证器
- 微软身份验证器
有关如何继续添加 HuiiRDP+帐户的更多详细信息,请参考各个应用相关文档。
配置短信 #
为了让用户通过 SMS 接收验证码,您必须首先启用并配置短信相关设置,请单击”配置短信“选项卡:
HuiiRDP+ 利用 Twilio 平台的 SMS 短信服务包发送验证码。Twilio 是第三方云平台,不隶属于 HuiiRDP+。
1) 首先您需要访问Twilio网站并创建一个免费帐户, www.twilio.com:
2) 在您的 Twilio 帐户仪表板上,您需要激活试用号码:
3) 此步仅对试用版是必要的,把您所需要接收短信的测试手机号添加至以下位置,在此清单中的手机号方可接收验证短信,未添加至此的手机号将无法接收至短信,购买了正式版的账号则无需完成此步骤,:
4) 然后返回HuiiRDP+的短信配置界面,在配置 SMS 选项卡上输入您的帐户 SID、身份验证令牌和试用号码:
然后,单击”保存”。将显示配置成功消息:
您可以在”配置 SMS”选项卡底部的“管理 Twilio订阅“部分管理 Twilio订阅。管理您的帐户,查看服务状态或只需单击相应的按钮即可到达 Twilio 支持中心。
使用双因素身份验证登录 #
一旦用户在HuiiRDP+双因素身份验证管理器中,为用户账号配置了双因素身份验证,用户将能够使用其密码及其验证器应用或 SMS 提供的代码进行连接。
时间同步 #
HuiiRDP+ 服务器和设备必须相同,这意味着HuiiRDP+服务器、用户的移动设备均建议与NTP时间服务器同步(目前主流的设备均启用了NTP时间同步功能)。如果身份验证请求来自日期和时间未同步的设备,或者服务器的日期和时间未同步,则此请求可能会被拒绝。
设置 #
“设置”选项卡允许您将用户列入白名单,以便用户使用 RDP 客户端进行连接,而无需输入双身份验证代码。
单击”添加”按钮以添加用户,然后通过选择用户并单击”删除”按钮将其删除。
“高级”选项卡允许您配置深度双重身份验证设置。
误差
您可以修改误差值,该值允许您设置验证代码的验证时间。
3 的误差值表示同一验证码保持 90 秒有效,并转发其原始 30 秒的有效期。默认值为 480,表示 480 x 30 秒= 4 小时。
发行
指示双重身份验证服务名称的字符串。颁发者显示在客户端移动应用上,并标识与生成的验证码关联的服务。默认情况下,它由服务器名称与 HuiiRDP-Plus 组成。
第一个会话后的有效性
在此期间用户可以打开会话,而无需重新验证以前的双重身份验证代码。此设置允许用户连续从 Web 应用程序门户打开应用程序。默认值为 480 分钟。
第一个会话前的有效性
用户在从 Web 门户或移动应用验证双重身份验证代码后可以打开会话的期间,以秒为单位。默认值为 3600 秒。
位数
要向用户显示的数字。请注意,身份验证应用可能不支持此设置。此数字必须大于或等于 4,小于或等于12。默认值为 6。
短信验证码消息
如果用户配置为通过 SMS 接收验证码,则发送给请求验证码的用户的消息。此消息必须包含 %CODE% 占位符,该占位符将被实际验证码替换。默认值为:您的 %ISSUER% 验证码为:%CODE%