双因素身份验证

无论密码多复杂,都无法为很多应用程序提供足够高的安全性。要提高安全性,请使用双因素身份验证。对于双因素身份验证,需要使用两个因素进行 HPE OneView 身份验证。这两个因素是用户拥有的设备(智能卡)以及用户了解的信息(个人标识号)。

HPE OneView 用户和密码身份验证

可以在 HPE OneView 中将用户配置为本地用户,或者在企业目录中远程配置用户。

传统的用户名和密码登录顺序如下所示:

  1. 用户输入其用户名和密码。

  2. HPE OneView 对用户名和密码进行身份验证。

    • 如果用户名是在 HPE OneView 中配置的本地用户的名称,则 HPE OneView 使用 HPE OneView 数据库验证手动指定的用户名和密码。

    • 如果您的环境配置为使用企业目录,HPE OneView 立即将用户名和密码转发到配置的目录服务器以进行身份验证。

  3. 在成功进行身份验证后,HPE OneView 确定用户的授权权限。

    • 如果这是本地用户登录,则根据与用户关联的角色确定授权权限。

    • 如果这是企业目录登录,HPE OneView 将请求发送到目录服务器以取得与用户关联的组名。它使用组名确定在 HPE OneView 中配置的用户的授权权限。

HPE OneView 双因素身份验证

通过启用双因素身份验证,您可以使用智能卡(例如,通用访问卡 (CAC) 或个人身份验证 (PIV) 卡)在 HPE OneView 中进行身份验证。浏览器中的智能卡读卡器插件读取智能卡,并使用用户指定的 PIN 访问卡中的证书。浏览器将向 HPE OneView 提供嵌入在智能卡中的客户端证书。客户端证书必须由以前导入到 HPE OneView 的根或中间证书颁发机构 (CA) 进行签名。设备对客户端证书进行身份验证,以验证证书中指定的用户名是否为 HPE OneView 中的目录服务器配置识别的有效用户的名称。

如果启用了双因素身份验证,则 HPE OneView 使用用户设置和拥有的 Microsoft Active Directory 服务帐户访问用户的 Active Directory 条目,而不是使用在首次登录期间收到的用户名的关联帐户。
注意:
  • Active Directory 不是 HPE OneView 设备的一部分。您必须在环境中单独安装 Active Directory。

  • 在 HPE OneView 中,在配置了服务帐户绑定类型的 Active Directory 上支持双因素身份验证。

在将 HPE OneView 配置为使用企业目录(如 Active Directory 或 OpenLDAP)时,将为该目录分配一个名称以在 HPE OneView 用户界面中使用。多个目录服务器可以为该目录提供服务以实现高可用性。将为目录组分配 HPE OneView 角色,并为这些组包含的目录用户分配这些 HPE OneView 角色。只能定义一次 HPE OneView 目录及其相应的目录服务器,并且它们使用一个集合以对角色映射进行分组。不支持为同一组目录服务器分配额外的不同 HPE OneView 目录名称。

基础架构管理员还可以灵活地自定义 HPE OneView 在客户端证书身份验证期间应用的规则。基础架构管理员可以配置 HPE OneView 从证书中取得用户名、域名和 OID 的位置,证书必须具有这些内容才会有效。

默认情况下,在用户使用双因素身份验证登录到设备时,对用户证书的吊销检查取决于设备中的 CRL 的可用性。如果用户证书的 CRL 不可用,第一个双因素身份验证登录不会执行吊销检查。如果启用了自动 CRL 下载用户设置,在双因素身份验证登录期间,将取得并保存用户证书的 CRL DP。将针对证书的颁发者 CA 下载相应的 CRL。用户证书的颁发者 CA 必须位于设备信任存储中。在具有 CRL 后,将在下次双因素身份验证登录期间进行吊销检查。

CAC/PIV 卡上存储的证书是 X.509 安全证书。它们包含用于标识证书所有者、证书颁发者和其他证书标识元素的信息字段。在启用双因素身份验证时,您可以使用 HPE OneView GUI 中的客户端登录证书配置屏幕指定 HPE OneView 必须使用哪些证书字段以验证用户。

注意:

在使用 REST API 对智能卡登录进行身份验证时,使用的 REST 客户端必须能够支持 HPE OneView 请求的客户端证书身份验证。

根据双因素身份验证使用命令行登录到 HPE OneView

您可以使用 REST API /rest/login-sessions/smartcards 远程登录到设备。要这样做,一种可能的方法是使用 curl-7.54.1-1 或更高版本,后者又使用 libssh2。下面是一个示例命令:
# curl -v -i -X POST -H "Accept-Language:en-US" -H "X-Api-Version:<version number>" --cert ./client-cert.pem:<PEM pass phrase> 
https://{appliance-IP}/rest/login-sessions/smartcards --cacert ./rootsplsintermediate.cer
注意:

可以使用 OpenSSL 或任何其他等效方法生成 client-cert.pem 文件。该文件具有客户端证书和通行短语保护的私钥。请将 <PEM passphrase> 替换为实际通行短语。rootsplsintermediate.cer 文件包含用于对 HPE OneView 服务器证书进行签名的根证书和中间证书链。或者,rootsplsintermediate.cer 可能具有 HPE OneView 服务器的自签名证书。

有关更多信息,请参阅HPE OneView API 参考