如何用 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)

配置 SecureCRT/SecureFX for Windows 以使用智能卡完成

为 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)

如果您的 SSH2 服务器环境为 X.509 智能卡证书身份验证正确配置,那么您可以配置 SecureCRT/SecureFX 以使用智能卡上的 2FA 证书进行身份验证。

以下是配置 SecureCRT/SecureFX for Windows 以使用智能卡完成身份验证的一般步骤:

  1. 打开全局选项并选择SSH2 类别。
  2. 公钥部分,启用使用来自您的个人 CAPI 存储或 PKCS #11 提供程序 DLL 的证书选项。
  3. 插入您的智能卡。
  4. 对于要使用的证书字段,按右侧的[…]按钮并浏览可用的证书。
  5. 如果您的证书包含应该用于身份验证的用户帐户名,请启用从证书中获取用户名选项;然后指定证书字段,其中包含对 SSH2 服务器进行智能卡身份验证所需的帐户名称(主体名称或 公用名称)。
    但是,如果您的证书不包含应该用于对 SSH 服务器进行身份验证的用户帐户名,那么您不应启用从证书中获取用户名选项。相反,您应该在SSH2的用户名字段中指定所需的用户名会话选项窗口的类别。
  6. 禁用指纹查看区域下方“高级”部分中的“将密钥添加到代理”选项。
  7. 按 OK 按钮保存您的配置更改。

一旦对 SecureCRT 的Global Options进行了上述更改,您现在就可以设置会话以使用智能卡身份验证。

如果您想为所有或大部分连接使用选定的证书,请编辑默认会话以使用您刚刚在上面配置的全局公钥配置:

  1. 选择选项 > 编辑默认会话…
  2. 选择SSH2类别,在右侧的Authentication列表中,突出显示PublicKey身份验证方法并将其移至列表顶部。
  3. Authentications列表中仍选择PublicKey身份验证方法时,按[Properties…]按钮。
  4. Public Key Properties窗口中,启用Use global public key setting选项并注意信息与您之前在Global Options , SSH2类别中指定的信息相匹配。
    提醒:如果您需要用于对大多数 SSH2 服务器进行身份验证的用户帐户名称与证书中的名称不同,则不应启用从证书中获取用户名选项。相反,您应该在 SSH2 类别的用户名字段中指定所需的用户帐户名称,如上图的防火墙字段下方所示。
  5. 确定按钮关闭公钥属性窗口。
  6. 确定按钮关闭会话选项窗口。
  7. 当系统提示您对所有现有会话或仅对默认会话“应用默认会话更改”时,请注意,如果您选择对所有会话进行此更改,则此操作无法撤消如何用 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)如果您将为大多数连接使用智能卡证书进行身份验证,那么您应该考虑对所有会话进行更改。如果您已经保存了会话,这些会话已配置为使用非智能卡

    的公钥身份验证进行身份验证,并且您希望保留这些会话,则需要编辑这些单独的已保存会话以恢复特定于会话的公钥设置(使用公共密钥属性配置那些,以便启用使用会话公共密钥设置,而不是全局,如下图所示)。
    如何用 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)

笔记:

如上所述,SecureCRT/SecureFX 不会缓存您的智能卡 PIN。第一次使用智能卡上的证书进行身份验证时,MS CAPI 或智能卡的中间件提供商将提示您输入 PIN。如果随后在使用智能卡进行身份验证时未提示您输入 PIN,那是因为您的 PIN 已被智能卡的中间件缓存。有关如何禁用 PIN 缓存的信息,请参阅您的智能卡中间件文档。

在某些情况下,个人可能希望使用其智能卡中的证书私钥向不支持根据 RFC 6187 的证书身份验证的远程 SSH2 主机进行身份验证,但远程主机确实支持标准/原始 SSH2 公钥身份验证。如果您在 SecureCRT 中修改相应的已保存会话以启用将证书用作原始 SSH2 密钥选项,则可以使用智能卡上的私钥实现原始 SSH2 公钥身份验证。

如何用 2FA 智能卡身份验证配置 SecureCRT 和 SecureFX (RFC 6187)

要提取配置远程 SSH2 服务器以接受您的密钥进行身份验证所需的公钥 (.pub) 文件,请按[Export Public Key…]按钮。然后按照远程主机上特定 SSH2 服务器的说明,了解如何应用该公钥以供远程主机上的用户帐户使用。

故障排除提示

  • 许多智能卡包含许多不同的证书。确保您从智能卡中指定了正确的证书,SSH2 服务器希望您使用该证书进行身份验证。
  • 配置将使用智能卡身份验证的会话时,您可能必须以 FQDN 格式(完全限定域名)指定主机。例如,如果没有智能卡身份验证,“host”可能会起作用,但使用智能卡身份验证可能需要“host.mydomain.com”。
  • 文件菜单中启用跟踪选项将帮助您查看客户端和 SSH2 服务器之间发生的 SSH2 协商。此信息将包括尝试进行身份验证时的证书指纹,这将帮助您确定正在使用智能卡上的哪个证书(将指纹与证书的指纹匹配)。
  • 许多 SSH2 服务器被配置为将未签名的公钥认证尝试视为失败,仅在少数失败(例如 3 次)后断开客户端。如果您的智能卡有多个证书,您将需要指定要使用的确切证书,而不是将 SecureCRT/SecureFX 配置为 在您的智能卡上<尝试所有证书>。
  • VanDyke Software 的技术支持团队可以帮助进行 SecureCRT/SecureFX 配置和故障排除。请通过电子邮件向support@vandyke.com提供您的跟踪选项调试日志(有关如何执行此操作的概述,请参阅SecureCRT 跟踪选项调试日志 YouTube 视频)以及您所面临问题的描述。请不要将跟踪选项调试日志信息发布到这些或任何其他公共论坛。

管理选项

可以通过组策略应用一个管理选项,该选项将在智能卡被移除时强制断开连接。

软件使用介绍

什么是 Internet Download Manager ?

2022-1-19 18:00:56

软件使用介绍

ToDesk 远程控制,不限速正版免费用

2022-2-13 19:19:23

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
有新私信 私信列表
搜索