সক্রিয় ডিরেক্টরি + গুগল প্রমাণীকরণকারী

10

(উত্তর-লেখকদের বোঝার সাথে মিলিত হওয়ার জন্য সম্পাদিত - নতুন, তাজা, পরিষ্কার প্রশ্ন এখানে পোস্ট করা হয়েছে: সক্রিয় ডিরেক্টরি + গুগল প্রমাণীকরণকারী - উইন্ডোজ সার্ভারে নেটিভ সমর্থন? )

গবেষণা এতদূর হয়েছে

অ্যাক্টিভ ডিরেক্টরি ফেডারেটেড সার্ভিসেস (এডি এফএস) এর সাথে গুগল প্রমাণীকরণকারী কীভাবে ব্যবহার করবেন সে সম্পর্কে একটি প্রযুক্তিগত নিবন্ধ রয়েছে: https ://blogs.technet.mic Microsoft.com/cloudpfe/2014/10/26/used-time-based-one-time -passwords-জন্য-বহু-ফ্যাক্টর-প্রমাণীকরণ-ইন-বিজ্ঞাপন-FS-3-0 তে /

অদ্ভুতভাবে, এটি একটি ডেভ প্রকল্প হিসাবে দেখা যাচ্ছে, এর জন্য কিছু কোড এবং নিজস্ব এসকিউএল ডিবি প্রয়োজন।

আমরা এখানে এডিএস এফএসের বিশেষভাবে কথা বলছি না। আমরা যখন খুঁজছি তখন আপনি 2 এফএ'র জন্য এডি-তে অন্তর্নির্মিত গুগল প্রমাণীকরণকারী আরএফসি সমর্থন করছেন।

windows active-directory authentication

— জোনসোম রিইনস্টেট মনিকা
সূত্র

গুগল প্রমাণীকরণকারী একটি স্বত্বাধিকারী ক্লায়েন্ট। সমতুল্য হ'ল আরএসএ টোকেন। আপনি যা চান সেটি হ'ল একটি প্রমাণীকরণের সার্ভার বা পরিষেবা যা প্রমাণীকরণকে সহায়তা করে যা AD FS এর সাথে কাজ করবে। আমি এডি এফএসের সাথে পরিচিত নই, তবে সাধারণভাবে AD এর জন্য এনপিএস বেশিরভাগ 2 এফএ সার্ভারকে সংহত করতে ব্যবহার করা যেতে পারে কারণ বেশিরভাগ রেডিয়াস সমর্থন করে। যদি AD FS প্রমাণীকরণের জন্য ব্যাসার্ধ ব্যবহার করতে পারে তবে আপনি ADFS >> NPS / AD >> 2FA সার্ভারে যেতে পারেন। ঠিক যেমন আপনি কোনও ভিপিএন ইত্যাদির জন্য চান

— এখন থেকে

আপনি এখন ভুল প্রতি en.wikipedia.org/wiki/Google_Authenticator Google প্রমাণকারী জন্য RFC 6238. উপর ভিত্তি করে তৈরি আছে যে এই জন্য RFC বাস্তবায়ন অন্যান্য প্রমাণকারী অ্যাপ্লিকেশান, এবং তারা Google প্রমাণকারী সঙ্গে বিনিমেয় হয়।

— জোনসোম পুনরায় ইনস্টল করুন মনিকা

সঠিক সংযুক্তি আমি 'ক্লোজড সোর্স' বোঝাতে চাইছিলাম যে এটি আর খোলা নেই।

— এখন

@ নাহ, আপনি এখনও কথাটি বন্ধ করছেন। আরএফসি সর্বজনীন। মাইক্রোসফ্ট সহ প্রচুর সংস্থাগুলি প্রমাণীকরণকারী অ্যাপ্লিকেশন তৈরি করেছে যা ডাব্লু গুগল প্রমাণীকরণের জন্য উপযুক্ত। আপনার পুরো বিষয়টি বন্ধ আছে। আমরা এডি তে যথাযথ এমএফএ খুঁজছি (যেমন আমাদের অন্যান্য ক্ষেত্রে এমএফএ প্রয়োজন)।

— জোনসোমে পুনরায় ইনস্টল করুন মনিকা

আমি সম্ভবত চুল বিচ্ছেদ। ;-)। আমার কেবল অর্থ হ'ল গুগল প্রমাণীকরণকারী পণ্যটি হ'ল গুগল ইনক এর সম্পত্তি Chrome এটি ওপেন সোর্স হিসাবে ব্যবহৃত হত, তবে গুগল মালিকানা লাইসেন্সে রূপান্তরিত হয়েছিল।

— এখন

9

আমাদের এখানে কী চলছে তা দেখতে হবে।

এডি এফএস সমস্ত এসএএমএল সম্পর্কে । এটি একটি এসএএমএল সনাক্তকরণ সরবরাহকারী হিসাবে ব্যবহার করতে এটি অ্যাক্টিভ ডিরেক্টরিতে সংযুক্ত হবে। গুগলের ইতিমধ্যে একটি এসএএমএল পরিষেবা সরবরাহকারী হিসাবে কাজ করার ক্ষমতা রয়েছে । দুটোকে একসাথে রাখুন, তাই গুগল আপনার সার্ভারের এসএএমএল টোকেনকে বিশ্বাস করবে এবং আপনি সক্রিয় ডিরেক্টরি শংসাপত্রগুলির মাধ্যমে একটি Google অ্যাকাউন্টে লগ ইন করছেন। ¹

অন্যদিকে গুগল প্রমাণীকরণকারী সাধারণত পরিচয় সরবরাহকারীর একটি উপাদান হিসাবে কাজ করে ... সাধারণত গুগলের নিজস্ব পরিষেবার জন্য। সম্ভবত আপনি এখন দেখতে পারেন কীভাবে এটি এডি এফএসের সাথে খাপ খায় না। গুগলের সাথে এডি এফএস ব্যবহার করার সময়, আপনি সত্যিই গুগলের পরিচয় সরবরাহকারী আর ব্যবহার করছেন না, এবং এডি এফএস গুগলের কাছে হাত বন্ধ করার সময়, পরিচয়ের দিকটি ইতিমধ্যে শেষ হয়ে গেছে। আপনি যদি কিছু করেন তবে এটি এডিএস বা অন্যান্য এসএএমএল পরিচয় সরবরাহকারীদের শীর্ষে (তবে পৃথক পৃথক) উপরে পরিপূরক পরিচয় নিশ্চিতকরণ হিসাবে প্রমাণীকরণকারীর প্রয়োজনের জন্য এটি Google কে কনফিগার করবে । (দ্রষ্টব্য: আমি মনে করি না গুগল এটি সমর্থন করে তবে তাদের উচিত) should

এখন, এর অর্থ এই নয় যে আপনি যা করতে চান তা অসম্ভব ... কেবল এটি সর্বোত্তম ফিট নয়। এটি প্রাথমিকভাবে অ্যাক্টিভ ডিরেক্টরিতে ব্যবহৃত হলেও এডি এফএস আরও সাধারণ জেনারেল এসএএমএল পরিষেবা হিসাবে কাজ করার জন্য ডিজাইন করা হয়েছে; আপনি এটিকে সক্রিয় ডিরেক্টরি ছাড়া অন্য পরিচয় সরবরাহকারীদের সাথে সংযুক্ত করতে পারেন এবং এটি অনেকগুলি বিভিন্ন বিকল্প এবং এক্সটেনশানগুলিকে সমর্থন করে। এর মধ্যে একটি হ'ল আপনার নিজস্ব মাল্টি-ফ্যাক্টর প্রমাণীকরণ সরবরাহকারী তৈরি করার ক্ষমতা। অতিরিক্তভাবে, গুগল প্রমাণীকরণকারী বহু-গুণক প্রমাণীকরণের জন্য TOTP মানকে সমর্থন করে ।

দু'টিকে একসাথে রাখুন এবং এডি এফএস সহ মুলি ফ্যাক্টর সরবরাহকারী হিসাবে গুগল প্রমাণীকরণকারীর ব্যবহার (যদিও অবশ্যই তুচ্ছ নয়) হওয়া উচিত। আপনি যে নিবন্ধটি লিঙ্ক করেছেন সেটি হ'ল এইরকম একটি প্রচেষ্টার ধারণার প্রমাণ। যাইহোক, এটি এডি এফএস বাক্সের বাইরে কিছু করে না; প্লাগ-ইনটি তৈরি করা প্রতিটি মাল্টি-ফ্যাক্টর পরিষেবাদির উপর নির্ভর করে।

হয়তো এমএস কয়েকজন বড় মুতলি-ফ্যাক্টর সরবরাহকারীদের জন্য প্রথম পক্ষের সহায়তা সরবরাহ করতে পারে (যদি এমন কোনও জিনিস থাকে) তবে গুগল প্রমাণীকরণকারীর পক্ষে যথেষ্ট নতুন এবং এডিএস এফএস ৩.০ যথেষ্ট পুরানো যে এটি করা সম্ভব ছিল না মুক্তির সময় এটি অতিরিক্তভাবে, এইগুলি বজায় রাখা এমএসের পক্ষে চ্যালেঞ্জ হবে, যখন এই অন্যান্য সরবরাহকারীরা কখন বা কোন আপডেটের দিকে ধাক্কা দিতে পারে তার উপর তাদের প্রভাব নেই।

সম্ভবত যখন উইন্ডোজ সার্ভার 2016 আপডেট হওয়া এডি এফএস এটিকে আরও সহজ করে তুলবে। তারা আরও ভাল মাল্টি-ফ্যাক্টর সহায়তার জন্য কিছু কাজ করেছে বলে মনে হয় , তবে আমি বাক্সে কোনও প্রতিযোগীর প্রমাণীকরণকারীকে অন্তর্ভুক্ত করার বিষয়ে কোনও নোট দেখতে পাচ্ছি না। পরিবর্তে, দেখে মনে হচ্ছে তারা আপনাকে এটি করতে আযুর সেট আপ করতে চাইবে এবং প্রমাণীকরণকারীর কাছে তাদের নিজস্ব প্রতিযোগীর জন্য সম্ভবত একটি আইওএস / অ্যান্ড্রয়েড / উইন্ডোজ অ্যাপ্লিকেশন সরবরাহ করবে।

এমএস সরবরাহ করার জন্য আমি শেষ পর্যন্ত যা দেখতে চাই তা হ'ল জেনেরিক টিটিপি সরবরাহকারী, যেখানে আমি গুগল প্রমাণীকরণকারীর সাথে কথা বলছি তা বলার জন্য কয়েকটি জিনিস কনফিগার করেছি এবং এটি বাকিটিও করে। হতে পারে কিছুদিন. সিস্টেমটির আরও বিশদ বর্ণন, একবার আমরা আসলে এটি পেতে পারি, এটি সেখানে উপস্থিত হবে।

^{¹ রেকর্ডের জন্য, আমি এটি করেছি। সচেতন থাকুন যে আপনি যখন লাফ দেবেন তখন এই তথ্যটি ইমপ্যাপ বা অ্যাকাউন্ট ব্যবহার করা অন্যান্য অ্যাপ্লিকেশনগুলিতে প্রযোজ্য হবে না । অন্য কথায়, আপনি গুগল অ্যাকাউন্টের একটি বিশাল অংশ ভঙ্গ করছেন । এটি এড়াতে, আপনাকে গুগলের পাসওয়ার্ড সিঙ্ক সরঞ্জামটি ইনস্টল এবং কনফিগার করতে হবে । অ্যাক্টিভ ডিরেক্টরিতে যখনই কেউ তাদের পাসওয়ার্ড পরিবর্তন করে, এই সরঞ্জামটির সাহায্যে আপনার ডোমেন নিয়ামক এই অন্যান্য প্রমাণীকরণের সাথে ব্যবহারের জন্য গুগলে পাসওয়ার্ডের একটি হ্যাশ প্রেরণ করবে।}

^{অতিরিক্তভাবে, এটি আপনার ব্যবহারকারীর জন্য সমস্ত বা কিছুই নয়। আপনি এন্ডপয়েন্ট আইপি ঠিকানা দ্বারা সীমাবদ্ধ করতে পারেন তবে ব্যবহারকারীদের উপর ভিত্তি করে নয়। সুতরাং আপনার যদি লিগ্যাসি ব্যবহারকারী থাকে (উদাহরণস্বরূপ: কোনও কলেজের প্রাক্তন শিক্ষার্থীরা) যারা কোনও সক্রিয় ডিরেক্টরি শংসাপত্রগুলি জানেন না, তাদের সমস্তটি সরিয়ে নেওয়া চ্যালেঞ্জ হতে পারে। এই কারণে, আমি বর্তমানে গুগলের সাথে এডি এফএস ব্যবহার করছি না, যদিও আমি এখনও শেষ পর্যন্ত লাফিয়ে উঠার আশা করছি ing আমরা এখন সেই লাফিয়ে উঠলাম।}

— জোয়েল কোয়েল
সূত্র

বিস্তারিত জানার জন্য আপনাকে ধন্যবাদ। খুব উপকারী! আমরা সবাই কিছুটা পাশ দিয়ে চলেছি, সুতরাং স্পষ্টতার জন্য ওপি বাড়িয়েছে।

— জোনসোম পুনরায় ইনস্টল করুন মনিকা

"নতুন" পোস্ট পড়া ... উইন্ডোজ কেবল এটি সমর্থন করে না, এবং 2016 সাহায্য করবে না ... তবে এটি স্মার্ট কার্ডগুলিকে সমর্থন করে। আপনি যদি 2 ফ্যাক্টর চান তবে সেখানে দেখুন।

— জোয়েল কোয়েল

মাইক্রোসফ্ট ইতিমধ্যে একটি প্রমাণীকরণকারী অ্যাপ্লিকেশন আছে।

— মাইকেল হ্যাম্পটন

@ স্যামস্মিথ এই সম্পর্কে চিন্তাভাবনা করে ... এখানে যে দুটি ভোটপ্রাপ্ত উত্তরের উত্তর এখানে উভয়ই প্রশ্নের ভুল ব্যাখ্যা করেছে, আমি আপনাকে পরামর্শ দিচ্ছি যে আপনি এই প্রশ্নটি সম্পাদন করার জন্য আমরা সকলে প্রথমে কী চেয়েছিলাম তা জিজ্ঞাসা করুন এবং তারপরে একটি নতুন প্রশ্ন প্রশ্ন পোস্ট করুন যাতে আপনি আসলে কী জিজ্ঞাসা করছেন আপনার প্রশ্নের উত্তর দর্শকদের সাথে সংযুক্ত করার জন্য আপনাকে আরও একটি ভাল সুযোগ দিতে চাই। আপনি "স্মার্টকার্ড" এর চেয়ে আরও ভাল কিছু করবেন কিনা তা আমি জানি না, তবে এটির জন্য একটি মূল্য রয়েছে।

— জোয়েল কোয়েল

1

@ জোয়েলকয়েল সম্পন্ন হয়েছে ধন্যবাদ. serverfault.com/q/764646/13716

— জোনসোম রিইনস্টেট মনিকা

7

আমি মনে করি আপনার প্রশ্নটি একটি নির্দিষ্ট বিক্রেতার 2 এফএ / এমএফএ সমাধানের জন্য সমর্থন যুক্ত করা মাইক্রোসফ্টের কাজটি অবৈধ অনুমান করে তোলে। তবে ইতিমধ্যে প্রচুর 2 এফএ / এমএফএ পণ্য রয়েছে যা ইতিমধ্যে উইন্ডোজ এবং এডি সমর্থন করে কারণ বিক্রেতারা সেই সমর্থনটি যোগ করতে বেছে নিয়েছে। গুগল যদি সমর্থন যোগ করার পক্ষে যথেষ্ট গুরুত্বপূর্ণ না মনে করে তবে এটি মাইক্রোসফ্টের দোষ নয়। প্রমাণীকরণ এবং অনুমোদনের সম্পর্কিত API গুলি ভাল নথিভুক্ত এবং ব্যবহারের জন্য নিখরচায়।

আপনি যে ব্লগ পোস্টটি নমুনা কোডের সাথে লিঙ্ক করেছেন তাতে যে কেউ তাদের নিজস্ব এডিএস এফএস পরিবেশে আরএফসি 6238 টিটিপি সমর্থন যুক্ত করতে লিখতে পারে । গুগল প্রমাণীকরণকারীর সাথে কাজ করার বিষয়টি এই আরএফসি সমর্থনকারী প্রমাণকারীর কেবলমাত্র একটি পার্শ্ব প্রতিক্রিয়া। কোডটি "ধারণার প্রমাণ", "কোনও সঠিক ত্রুটি পরিচালনা না করা", এবং "সুরক্ষা মাথায় রেখে তৈরি করা হয়নি" সে সম্পর্কে নীচে অস্বীকারকারীদের লিটানিটিও আমি নোট করব।

যে কোনও ক্ষেত্রে, না। আমি বিশ্বাস করি না যে গুগল প্রমাণীকরণকারী সমর্থনটি স্পষ্টভাবে উইন্ডোজ সার্ভার ২০১ in-তে সমর্থিত হবে But তবে আমি মনে করি না যে কোনও কিছু গুগলকে সার্ভার ২০১ 2016 বা তার আগের সংস্করণগুলিতে নিজের সমর্থন যোগ করতে বাধা দিচ্ছে।

— রায়ান বোলার
সূত্র

শুধু তাই নয়, এমএস উইন্ডোজ অ্যাজুরে তাদের নিজস্ব এমএফএ পুশ করে।

— মার্চ'কে অভিযুক্ত করুন

বিস্তারিত জানার জন্য আপনাকে ধন্যবাদ। খুব উপকারী! আমরা সবাই কিছুটা পাশ দিয়ে চলেছি, সুতরাং স্পষ্টতার জন্য ওপি বাড়িয়েছে।

— জোনসোম পুনরায় ইনস্টল করুন মনিকা

রায়ান, আপনি এই অবৈধ ধারণাটি তৈরি করেছেন যে গুগল প্রমাণীকরণকারী একজন "নির্দিষ্ট বিক্রেতা" প্রকৃতপক্ষে, এটি কেবলমাত্র আরএফসি 6238 এন.ইউ.ইউইকিপিডিয়া.আর / উইকি / গুগল_অথেন্টিটেটর এর একটি বাস্তবায়ন আমি এডি এর জন্য আরএফসি-ভিত্তিক 2 এফএ সমাধানের জন্য বলছি। আমি বিশেষত গুগল প্রমাণীকরণকারীর জন্য জিজ্ঞাসা করছি না (যা আসলে সম্ভব নয়, যেহেতু অন্যান্য আরএফসি 6238 ভিত্তিক অ্যাপ্লিকেশন রয়েছে যা গুগল প্রমাণীকরণকারীর সাথে বিনিময়যোগ্য)

— জোনসোম রিইনস্টেট মনিকা

সম্মানজনকভাবে, আমি যে মূল অশিক্ষিত প্রশ্নের উত্তর দিয়েছি বিশেষভাবে জিজ্ঞাসা করা হয়েছিল (অনেকটা ছিটিয়ে দিয়ে) AD এর গুগল প্রমাণীকরণকারীর পক্ষে স্থানীয় সমর্থন ছিল কিনা এবং যদি তা না হয় তবে সার্ভার ২০১ in-তে এটি প্রত্যাশিত ছিল কি না those এই প্রশ্নগুলির আমার মূল উত্তরটির সাথে আমি দাঁড়িয়ে আছি।

— রায়ান বোলজার

1

উত্তর, অক্টোবর 2017 হিসাবে:

ব্যবহারের মানিকজোড় এমএফএ করতে সক্ষম সিস্টেমগুলি খ্রি মধ্যে LDAP ফিরে না

আমরা সব কিছু নিয়ে গবেষণা করেছি বা চেষ্টা করেছি।

অ্যাজুর / মাইক্রোসফ্ট এমএফএ (সেট আপ করতে জটিল এবং সময় সাশ্রয়ী, কার্যকর অবস্থায় ভঙ্গুর)
রেডিয়াস সার্ভার

যদিও আমরা ডিইউওর অপারেশনাল ব্যয় পছন্দ করি না, 50 জন ব্যবহারকারীর জন্য, ব্যয়টি আমাদের কাছে সেট আপ এবং ব্যবহারের জন্য সরলতার জন্য মূল্যবান।

আমরা এটি এতদূর পিছনে ব্যবহার করেছি:

ভিপিএন অ্যাক্সেসের জন্য সিসকো এএসএ ডিভাইস
ভিপিএন অ্যাক্সেসের জন্য সোনিকওয়াল রিমোট অ্যাক্সেস অ্যাপ্লায়েন্স (ডিভাইসটি এডি থেকেও এলডিএপি করে থাকে)

আমরা অন্য কোনও পদ্ধতির বিষয়ে অবগত নই যা ২-৪ ঘন্টার মধ্যে সেট আপ করা যায় এবং এমএফএ এডি বন্ধ থাকা এলডিএপি পরিষেবা সক্ষম করে।

আমরা বিশ্বাস করতেই থাকি যে AD নিজেই গুগল প্রমাণীকরণকারীর পিছনে টুপি / এইচটিপি আরএফসি সমর্থন করতে পারে এবং গভীরভাবে হতাশ যে এমএস উইন্ডোজ সার্ভার 2016 এ সঠিকভাবে সমাধান করে নি।

— জোনসোম রিইনস্টেট মনিকা
সূত্র

ভবিষ্যতের রেফারেন্সের জন্য, এখানে আরও একটি বিকল্প রয়েছে, উইকিডিসমস্টমস / লেয়ার- মোর / ফিচারস-সুবিধা / / ,, তবে এটিও টিটিপি নয়।

— এখন

-2

এডিএফএসের সাথে ওয়ান টাইম পাসওয়ার্ড প্রমাণীকরণের জন্য অল রেডি একটি বিনামূল্যে প্লাগিং রয়েছে plug এটি গুগল বা মাইক্রোসফ্ট প্রমাণীকরণকারী অ্যাপ্লিকেশনগুলির সাথে দুর্দান্ত কাজ করে। আরও তথ্যের জন্য www.securemfa.com দেখুন। আমি উত্পাদনের কোনও সমস্যা ছাড়াই এটি ব্যবহার করছি।

— পিটার বেলস
সূত্র

এখানে সমস্যাটি হ'ল একটি ফ্রি তৃতীয় পক্ষের প্লাগইন, এটি এসকিউএল সার্ভারে ডেটা সঞ্চয় করে: দুর্গন্ধযুক্ত সত্যই বন্ধ। এটি এমএস (ওএসে), বা একটি নামী সুরক্ষা বিক্রেতা থেকে আসা উচিত। চেষ্টা করার জন্য ধন্যবাদ!

— জোনসোম পুনরায় ইনস্টল করুন মনিকা

সক্রিয় ডিরেক্টরি + গুগল প্রমাণীকরণকারী - এডি এফএস, বা কীভাবে?