跳转至

使用 NetIQ Advanced Authentication 保护 Vertica 安全

概述

许多数据驱动型公司利用 Vertica 分析平台,发现其分层安全模型已经很强大,但越来越多的 IT 团队正在使用多因素认证来保护对敏感信息的管理访问。幸运的是,Vertica 平台是越来越多的 Micro Focus 产品之一,提供与 NetIQ Advanced Authentication 的认证集成。

Advanced Authentication 提供各种认证机制,在传统的基于用户名和密码的认证之外,实现身份保证和验证。

本文档使用以下场景解释如何将 Vertica 平台集成到 Advanced Authentication 框架中:

场景:利用 Advanced Authentication 的不同方法,为 Windows 认证构建多因素链组合,保护 Vertica 环境。

为什么需要多因素认证

通过 Vertica 收集的信息具有高价值和潜在的高敏感性。因此,有理由通过多因素认证为特权 Vertica 用户增加另一层身份验证。

NetIQ Advanced Authentication 为组织提供无与伦比的认证灵活性,使用它来保护 Vertica 环境中的有价值信息。在本示例中,我们将使用智能手机认证以及从大量支持的认证方法中选择的其他方法进行 Windows 认证。

客户的最佳实践是使用 LDAP 密码(域密码)与另一个因素的组合,如智能手机、指纹、短信 OTP 或非接触式卡片。Advanced Authentication 支持超过 20 种不同的认证方法,可以根据需要将它们组合成认证链,用于在不同位置进行认证。

实现 Windows 登录的多因素认证

执行以下任务来实现 Windows 登录的多因素认证:

  1. 设置 Advanced Authentication Server
  2. 添加 Repository(仓库)
  3. 配置 Methods(方法)
  4. 创建 Chain(链)
  5. 将链分配给 Windows Logon 事件
  6. 设置用户工作站

设置 Advanced Authentication Server

  1. 从 https://download.microfocus.com 下载 Advanced Authentication server (AA server) 设备。
  2. 像安装操作系统一样安装该设备。例如,可以在 advauth.yourcompany.com VM 上安装 AA 设备,IP 地址为 10.204.130.130。成功安装后,设备控制台会要求登录。
  3. 打开 https://advauth.yourcompany.com 配置您的第一个 Advanced Authentication Server。更多信息请参阅 Configuring Global Master Server。
  4. 使用上一步中指定的本地管理员凭据登录管理门户 (https://advauth.yourcompany.com/admin)。

注:Advanced Authentication 支持在 Amazon Web Services 和 Azure Kubernetes Services 中部署。更多信息请参阅 Installing Advanced Authentication。

添加 Repository

在 Advanced Authentication 中,添加 Active Directory 作为 repository,从中获取用户详情进行验证。

  1. 在 Advanced Authentication Administration portal 中点击 Repositories
  2. 点击 Add LDAP repo
  3. 从 LDAP type 列表中选择 AD (Active Directory Domain Services)
  4. 在 Base DN 中为用户指定容器。
  5. 在 Active Directory 中创建一个密码永不过期的服务账户。
  6. 在 User 和 Password 中分别指定服务账户及其密码。
  7. 手动或通过 DNS 自动检测添加域控制器作为 LDAP 服务器。
  8. 点击 Save

截图

配置 Methods

几乎所有认证方法都使用预定义设置工作。您可以在 Administration portal - Methods 中修改可用设置。

配置 Smartphone 方法

Smartphone 方法使用户能够通过智能手机进行认证。认证通过 NetIQ Auth 应用程序执行带外认证。带外认证通常是一种双因素认证,需要除了 ID 和密码之外,通过独立的通信渠道进行二次验证。

截图

Smartphone 方法的认证流程:

  1. 当认证请求发起时,端点联系 Advanced Authentication 服务器。
  2. Advanced Authentication 服务器验证用户凭据。
  3. 验证凭据后,Advanced Authentication 服务器向代理服务器发送推送消息。
  4. 根据智能手机的平台,服务器选择合适的推送服务,然后将推送消息转发到智能手机。
  5. 推送消息传递到用户的智能手机,通知已有认证请求被发起。
  6. 用户打开智能手机应用后,应用会联系 Advanced Authentication 服务器以验证是否存在待处理的认证。认证通过 Accept 和 Reject 选项指示。用户的选择随后发送到服务器。
  7. 最后,服务器验证认证,端点通过认证。

截图

Smartphone 方法包含在 Administration portal - Methods - Smartphone 中可用的不同安全和外观设置,但这些是可选的。只需在 Administration Portal - Policies - Public external URLs 中设置公共 URL。智能手机必须能够访问 Advanced Authentication 服务器以检查待处理的认证请求并发送用户响应。建议通过在任意智能手机上打开以 /smartphone 结尾的 URL 来验证指定的 Public external URL,如果工作正常,应该看到 "IT WORKS" 消息。

配置 SMS 方法

在 SMS OTP 认证方法中,一次性密码 (OTP) 通过 SMS 文本发送到用户的手机。用户接收 OTP 并在进行认证的设备上输入。OTP 必须在特定时间范围内使用(默认 2 分钟)。

截图

必须在 Administration Portal - Policies - SMS sender 中配置第三方 SMS 服务来提供 SMS 发送功能。

创建 Chain

使用 LDAP Password 和 Smartphone 方法创建认证链:

  1. 在 Advanced Authentication Administration portal 中点击 Chains > Add
  2. 指定链的名称。
  3. 选择 LDAP PasswordSmartphone 方法添加到链中。在本示例中,选择 Smartphone 作为第二因素认证。可以根据管理员在 Vertica 中可访问信息的敏感性选择其他方法。
  4. 在 Roles and Groups 中指定 ALL USERS。在本示例中,链已分配给所有用户。但可以选择为 Vertica 用户创建的特定组。可以为公司中的不同部门创建和使用不同的链。

截图

将链分配给 Windows Logon 事件

  1. 点击 Events
  2. 点击 Windows Logon 事件旁边的 Edit
  3. 确保 Is enabled 设置为 ON
  4. 选择在创建链步骤中创建的链。
  5. 点击 Save

截图

设置用户工作站

在用户工作站上安装 Advanced Authentication Windows Client。更多信息请参阅 Installing Windows Client。

需要配置 DNS 以允许 Windows Client 发现并连接到 Advanced Authentication 服务器。更多信息请参阅 Setting a DNS for Advanced Authentication Server Discovery。

某些认证方法如 Card、Fingerprint、Face、PKI、Windows Hello、Bluetooth 和 U2F 需要在工作站上安装 Advanced Authentication Device Service。更多信息请参阅 Installing and Upgrading Device Service。

终端用户任务

终端用户必须执行以下任务才能使用配置的链向 Vertica 服务器进行认证:

  1. 注册 Smartphone 方法
  2. 使用 Smartphone 方法认证到 Windows 工作站
  3. 单点登录到 Vertica

终端用户必须确保在其智能手机上安装 NetIQ Advanced Authentication 应用以注册 Smartphone 方法。

注册 Smartphone 方法

  1. 使用您的域账户登录 Advanced Authentication Self-Service 门户 (https://advauth.yourcompany.com/account)。
  2. 在 Add Authenticator 部分点击 Smartphone 图标。
  3. 点击 Save 显示二维码。
  4. 在智能手机上打开 NetIQ Advanced Authentication 应用。
  5. 点击 + 添加新的认证器。智能手机的相机启动。
  6. 使用智能手机的相机扫描二维码。

截图

使用 Smartphone 方法认证到 Windows 工作站

  1. 打开 Windows 工作站。显示锁定屏幕。
  2. 按任意按钮。
  3. 输入用户名。

    注:不需要在用户名前添加域名前缀。

  4. 选择认证链(如果有多个链可用)。
  5. 输入域密码。屏幕上显示接受智能手机上认证请求的提示。
  6. 在智能手机上打开 NetIQ Advanced Authentication 应用。几秒钟内将收到认证请求。

    注:如果智能手机没有网络连接,可以使用应用中显示的一次性密码。

  7. 点击 ACCEPT。用户认证到 Windows 工作站。

可以为 Windows 登录使用其他认证方法及其链组合。例如,如果选择另一个带有 SMS OTP 的链,输入域密码后,用户将收到包含一次性密码的 SMS 消息,需在字段中输入该一次性密码。提供正确的一次性密码后,用户将登录到工作站。

单点登录到 Vertica

当用户使用强多因素认证认证到 Windows 工作站后,可以通过在命令行中执行以下命令直接单点登录到 Vertica 环境:

C:\Users\dresden>vsql -p5461 -U dresden -h vert.yourcompany.com -c "select user_name, authentication_method from sessions"
user_name | authentication_method
-----------+-----------------------
dresden   | GSS-Kerberos
(1 row)

了解更多关于 NetIQ Advanced Authentication

除了保护 Vertica 的访问,Advanced Authentication 还提供了一个基于标准框架,支持所有类型的认证选项。这种开放式架构方法允许组织将分散的认证孤岛整合到一个仓库中,减少管理麻烦和成本,同时消除不均衡的策略。

联系方式

关于高级认证的问题,请联系 George.Teys@microfocus.com。

原文来源:https://www.vertica.com/kb/Vertica_and_NetIQ_Technical_Exploration/Content/Partner/Vertica_and_NetIQ_Technical_Exploration.htm