我已经在互联网上搜索了漏洞,但找不到任何好的答案。
场景: 我有一个应从 Internet 访问的 Intranet 网站。我在 dmz 前面添加了一个基于 Linux / Apache 的反向代理。
目标: 使用 google 身份验证器通过真正的两因素身份验证系统登录到反向代理(不像在这个 howto 中什么是单因素身份验证:http://www.blogbyben.com/2012/02/getting-google-authenticator-and-apache.html)。登录到反向代理后,登录令牌被转发到内网网站。
有什么想法吗?
谢谢!
【问题讨论】:
标签: apache reverse-proxy authenticator google-authenticator
“真正的两个因素”是指您需要用户名、密码和令牌——而不仅仅是用户名和令牌,对吧?
所以,这里有一个选项 - 可以在 linux 上配置 PAM 以要求密码,该密码是密码和代码的串联。请参阅:http://google-authenticator.googlecode.com/git/libpam/README 然后您可以通过 PAM (http://pam.sourceforge.net/mod_auth_pam/configure.html) 使用 apache 身份验证作为 apache 反向代理的身份验证,瞧。
现在,我还没有真正尝试过,它可能每次都会尝试验证密码(所以在密码无效之前,您将只登录一次请求!),那么您将想使用 mod_auth_pam 结合 mod_auth_form 允许您设置会话 cookie 以在会话有效时绕过密码检查。
我已经实现了类似的东西,但还没有实现所有部分。
很想知道你是否能正常工作!
【讨论】: