如何在深信服VPN上配置宁盾dKey动态口令牌认证

     本文介绍在深信服VPN登录过程使用dKey动态口令牌进行认证。

      1. 宁盾DKEY动态口令服务器需求

      客户方需提供1-2台服务器（可以选择相对空闲的机器），用来部署宁盾DKE动态口令认证系统及数据库。其中一台作为主认证服务器，另外一台做备份，保障认证系统7×24工作。 因为动态口令认证涉及到数据包字节数较少，因此对于计算资源、网络资源并无太多要求，在确保服务器运行前提。 由于宁盾VPN专用动态口令认证系统基于JAVA技术构建，因此支持跨平台部署。

      2. 深信服VPN设置
      目前主流的VPN系统都支持RADIUS协议，动态口令的认证也是通过RADIUS协议对接，这样的优点是无需对VPN设备做任何修改即可实现短信密码认证功能的对接，部署时间短，稳定性好，对接成功之后所有与帐号、密码相关的工作由短信密码认证服务器负责，做到责任清晰。 下面以深信服M5100-S VPN为例，介绍与宁盾DKEY动态口令对接过程，步骤如下：

      2.1 新建 RADIUS
     即设置DKEY动态口令认证服务器的地址信息。
   
   

   


     2.2 选择右侧 “编辑”按钮，填写动态口令认证服务器详细信息
   
   

      主要配置包括：
         1. (1) 主机地址
         2. (2) 认证端口：宁盾DKEY动态口令认证服务器开放的端口
         3. (3) 共享密钥：与DKEY动态口令认证服务器上密钥一致
         4. (4) 采用RADIUS的协议：有4种选择，本配置中选择 不加密的协议PAP

      通过以上两步，VPN与宁盾DKEY动态口令认证服务器对接成功，同时DKEY动态口令认证系统支持用户分组管理、RADIUS扩展属性返回等新特性。
   

      3. 如何使用
     3.1 获取动态口令密码

        
     3.2 将动态密码输入 VPN 密码框中

        宁盾DKEY动态口令认证系统不仅支持单一动态密码认证，同时也支持 静态密码 + 动态密码 双因素认证方式，用户需要在“密码”框中前几位输入静态密码，后几位输入dKey令牌上的动态密码，点击登录。