登录堡垒机完成密码认证之后,您可以选择短信、邮箱、钉钉工作消息通知、OTP令牌和国密USBKEY等双因子认证方式进行二次认证,有效降低用户密码泄露带来的安全风险。本文介绍如何开启双因子认证。
双因子认证开启说明
堡垒机双因子认证针对所有堡垒机本地用户、AD认证用户和LDAP认证用户。如需为RAM用户设置双因子认证,您可以登录RAM访问控制台进行设置,具体操作,请参见为阿里云账号绑定MFA设备。
配置全局多因子认证的优先级低于单个用户手动配置,针对单个用户进行双因子认证的配置,请参见管理用户。
操作步骤
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,单击系统设置。
在系统设置页面,单击双因子认证页签。
打开启用双因子认证开关,选择认证方式,单击保存。
配置项
说明
认证方式
短信认证
使用手机短信验证码进行二次认证。
请确保已为需要进行运维操作的用户账号添加手机号,否则将无法接收到验证码。为用户添加手机号的具体操作,请参见修改本地用户基本信息。
邮件认证
使用邮箱验证码进行二次认证。
请确保已为需要进行运维操作的用户账号设置邮箱地址,否则将无法接收到验证码。为用户设置邮箱地址的具体操作,请参见修改本地用户基本信息。
钉钉认证
使用钉钉进行二次认证。
请确保已符合以下要求:
已为需要进行运维操作的用户账号添加手机号。为用户添加手机号的具体操作,请参见修改本地用户基本信息。
钉钉管理员已创建企业内部应用,并且为应用开通根据手机号姓名获取成员信息的接口访问权限。
已获取企业内部应用的AppKey、AppSecret、AgentId。
手机OTP令牌认证
使用手机OTP令牌进行认证。
需下载标准TOTP认证软件,例如阿里云App等,再通过公网地址登录堡垒机运维门户,在左侧导航栏单击安全设置,然后单击手机OTP令牌页签,单击设置令牌,自助扫描二维码,绑定OTP令牌认证。登录堡垒机运维门户具体操作,请参见登录运维门户。
国密USBKEY
仅国密版支持。表示使用国密USBKEY进行二次认证。
使用该认证方式,首先需在堡垒机绑定USBKEY证书,具体操作,请参见绑定USBKEY证书。
说明目前仅支持在Windows系统上登录堡垒机进行二次认证,且在认证前需要确保已安装USBKEY控件。具体操作,请参见安装USBKEY控件。
发送语言
支持选择双因子使用简体中文或English语言发送通知。
双因子口令填写正确,跳过双因子认证
设置双因子免输入时间。有效值范围:0~168小时或0~7天。默认值为0小时,表示每次都需要输入双因子口令。
在双因子免输入的时间内,同一用户相同来源IP登录不需要输入双因子口令。
支持的国家和地区
地域 | 国家或特殊行政区(电话区号) |
中国地域 | 中国香港(+852) |
中国澳门(+853) | |
中国台湾(+886) | |
中国内地(+86) | |
非中国地域 | 澳大利亚(+61) |
波兰(+48) | |
德国(+49) | |
阿联酋(+971) | |
俄罗斯(+7) | |
法国(+33) | |
菲律宾(+63) | |
韩国(+82) | |
马来西亚(+60) | |
美国(+1) | |
日本(+81) | |
瑞典(+46) | |
瑞士(+41) | |
西班牙(+34) | |
新加坡(+65) | |
以色列(+972) | |
意大利(+39) | |
印度(+91) | |
印度尼西亚(+62) | |
英国(+44) | |
沙特(+966) | |
泰国(+66) | |
越南(+84) | |
柬埔寨(+855) |