Product SiteDocumentation Site

Глава 31. Двухфакторная аутентификация

31.1. Методы аутентификации
31.2. Разрешения (Permissions)
31.3. Управление функциями
31.3.1. Веб-интерфейс
31.3.2. Командная строка
31.4. Пример настройки двухфакторной аутентификации
31.4.1. Командная строка
31.4.2. Веб-интерфейс
31.5. Аутентификация
Использование двухфакторной аутентификации (2FA) — это один из способов повысить безопасность аутентификации. Одним из наиболее популярных вариантов является использование одноразовых паролей (OTP). Существуют открытые стандарты механизмов OTP:
  • HOTP (на основе счётчика): RFC 4226
  • TOTP (на основе времени): RFC 6238

31.1. Методы аутентификации

Во FreeIPA способы аутентификации пользователей могут быть установлены глобально или отдельно для каждого пользователя. Установка нескольких способов аутентификации позволяет использовать любой из указанных методов (логическое ИЛИ).
Определены следующие методы аутентификации пользователей (но не все могут быть реализованы):
  • Пароль
  • RADIUS
  • Двухфакторная аутентификация (пароль + OTP)
  • PKINIT
  • Пароль с усиленной защитой (SPAKE или FAST)
  • External Identity Provider
  • Отключить переопределение на уровне пользователя (только в глобальной конфигурации)
Если значение не задано, используется парольная аутентификация.

Примечание

Двухфакторная аутентификация означает «использовать пароль и значение OTP». Если установлено это значение, аутентификация только по паролю будет разрешена только в том случае, если у пользователя не определены токены.

Примечание

При выборе значения Отключить переопределение на уровне пользователя (может быть установлено только глобально), для всех пользователей, независимо от их собственных настроек, будет требоваться парольная аутентификация:
Аутентификация пользователя
Только администраторы могут изменять тип аутентификации пользователя (глобально или для каждого пользователя).