OTP токены и NMAS

[alexp]

Коллеги!

Есть некая задача - прикрутить OTP токены (например etoken NG-OTP) к NMAS для аутентификации пользователей.
И есть даже документация на эту тему:
http://www.novell.com/documentation/nma ... 4ix6j.html

Но:
1.Дока читаеся как бред сумашедшего.
2.Все сделано как набор костылей.

Вопрос: имеет ли кто-то опыт настройки аутентификации по OTP токенам?

[Dimerson]

юзаются отп токены (не в NDS и не етокен) ситуевина такая - в каждом токене ключ. он выдает одноразовый пароль как функцию ключа, времени (в нем RTC) и номера нажатия . посему в серв части хранится база ключей . клиенту привязан токен по мономеру -> ключ.

если у токена убежало время или много раз давили в пустую то есть возможность сделать его adjust путем ввода констант с сервера.
на сервере настраивается макс расхождение по времени и номеру нажатия.

есть сомнение что в едир грузится база ключей ...

[alexp]

1.Меня теория не интересует.
2.Интересуют практическое применение. Чтоб было все просто и без лишнего софта, как nescm метод например.
Скажем варианты от Vasco предполагают наличие loginmethod для их устройств, цена безумная и все на заказ.
Если исходить из того, что доступно не на заказ, то остается только аладиновские продукты, один просто генератор OTP, другой совмещенный с USB токеном для хранения сертификатов. Первый вариант правильный - поставляется с секретным ключом. Второй для получения секретного ключа требует наличия TMS. Незнаю, подарит ли аладдин лицензию на TMS, для того, чтобы генерить секретные ключи, думаю что нет, а покупать очередную приблуду под винду с непонятной поддержкой - нет смысла.
Отсюда и все вопросы: какие есть нормальные доступные решения по применению OTP в edir?
Вот тут описывается конфигурация акаунта для аутентификации по OTP последней версией NMAS
http://www.novell.com/documentation/nma ... 4ix6j.html
Незнаю, будет ли выпущен нормальный интерфейс под это?

[Timur Kazimirov]

Может немного не в тему. Просто в избранном до сих пор болтается... http://www.aladdin.ru/catalog/etoken_pr ... etails.php

[Dimerson]

Может немного не в тему. Просто в избранном до сих пор болтается... http://www.aladdin.ru/catalog/etoken_pr ... etails.php

404

NMAS не ищется вообще по поиску

[Timur Kazimirov]

404

NMAS не ищется вообще по поиску

Мдя, надо было самому щелкнуть предварительно... Ссылка 4-х или 5-летней давности наверное...

[Dimerson]

в общем если метод NMAS от вендора поддерживается то можно и попробовать ....

я так подумал что без внешнего сервера управления отп токенами не обойтись.

ибо если мы просто городим 2-х факторную аутентификацию на токенах то в рамках сервера сертификатов Novell создаются пользовательские сертификаты со всяким обрамлением (перевыпуск , справочник отозванных) и токену+драйверу надо лишь соответствовать требованиям PKCS#11.
метод для этого продается эхотагом.

а вот с отп даже не представляю как оно выглядит (в моем случае (не Novell и не MS ) при покупке партии токенов база докупленных отп токенов (серийник что снаружи,есть штрихкод->ключ унутри) подгружается прямо в систему и она одноразовые пароли проверяет).

[alexp]

У Аладдина есть какой-то мусор для NMAS 2.x который уж года как 3-4 не существует и не поддерживается.
Представительству Новел в СНГ видимо пофиг, т.к. пинать парнеров это их прямая задача.
e-token от Аладдина и рутокен от АктивСБ мы прикрутили к edir - все работает - можно входить по сертификатам.
Однако ж, остался например GroupWise web access куда токен с сертификатом не очень-то прикрутишь, да и идеологически неверно.
По сему: видится очень разумным иметь токен с сертификатом и ОТP , чтобы можно было использовать оба варианта аутентификации, однако ж , Аладдин-у это ненадо, они TMS за кучу денег продают, а че, для citrix и пр примочек очень даже идет...
Сегодня попадут ко-мне в руки 2 OTP токена, будем крутить.
Ау! Новел СHГ...