ePass OTP身份认证系统常见问题与解答


下面列出了一些您或您的客户可能遇到的一些问题,同时提出了解决办法。
  1. ePassOTP身份认证系统包括什么?
    2. 答:硬件和软件。硬件指ePassOTP动态令牌,软件指代理程序和服务程序。

  2. ePassOTP是基于哪种方式的?是什么类型的?
    3. 答:ePassOTP是基于“事件”(Event)形式和“时间”(Time)形式的。目前OTP领域中基本有三种类型:时间、事件、挑战/应答。事件类型有国际标准,各个厂商的令牌和服务器可以通用。

  3. 部署ePassOTP系统需要更改现有的系统吗?
    4. 答:基本不需要,ePassOTP系统支持多种数据库和AD/LDAP的关联,如果已经有了一套业务系统,只需要把现有的用户名和OTP系统关联即可。

  4. ePassOTP系统的性能如何?
    5. 答:ePassOTP系统支持负载均衡,即ePassOTP服务器的集群。目前测试一台PC装置的ePassOTP服务器可承受4000个并发访问。

  5. ePassOTP的优势?
    6. 答:(1)国内唯一一家国际OATH组织成员。(2)算法为国际HOTP算法。(3)支持Raduis协议。(4)支持多种数据库:Oracle、SQL Server、 My SQL、 Access等。

  6. 其它厂家的动态令牌认证服务器能够使用ePassOTP吗?
    7. 答:只要符合OATH组织的认证服务器都是可以使用ePassOTP的。

  7. ePassOTP身份认证系统安装过程?
    8. 答:(1)认证服务器的安装:在您购买了ePassOTP后,我们会通过邮件或者光盘给您2个文件(.lic和.tnk)。.lic文件为授权文件,在安装认证服务器软件时需要。.tnk为令牌文件(也称种子文件),用于在认证服务管理软件中导入令牌,该文件是密文,与.lic文件是一一对应的,如果不对应导入令牌文件时会失败。(2)认证代理的安装:安装认证代理时需要后缀为.db的文件,参看下面如何生成.db文件的说明,或者说明书中的相关说明。

  8. 如何生成.db文件?
    9. 答:后缀为.db的文件用于认证代理的安装。该文件是在认证服务器管理软件中产生的。在认证服务器管理软件中选择“认证服务器栏”,点击“添加”按钮,添加认证服务器。然后在“认证代理”栏,点击“添加代理主机”按钮,在出现的对话框中,“主机”后面填入安装认证代理软件机器的IP,“共享密钥”填入认证代理与认证服务器之间通讯的密钥,在“请选择使用的认证服务器”下面选择认证的服务器,如果选择多个,请参看下面如何配置负载均衡的说明。添加代理主机后,点击“生成密钥文件”按钮就可以生成.db文件了。如果已经安装了代理软件,那么将新生成的.db文件改名为OTPProxy.db拷贝到系统目录system32下并覆盖原文件,不需重启计算机。

  9. 什么是ePassOTP的PIN?
    10. 答:PIN即每个用户自己设置的密码,如果系统中的认证模式是PIN + OTP,那么在用户第一次登录时,开始输入的即是用户自己设定的密码,然后再输入按键产生的6个数字的OTP。例如:用户在第一次登录时,先输入abcdef,然后再输入按键产生的6个数字的OTP(如:017578),这时abcdef就是用户自己设定的PIN。这个PIN的长度为16个字符,且只能由管理员在服务器端进行重设,用户自己不能修改。

  10. ePassOTP丢失后会造成安全问题吗?
    11. 答:不会。认证口令应该是PIN + OTP,ePassOTP丢失后,其他人虽然可以通过按键得到OTP,但是不知道PIN是什么,因此还是无法进行认证。

  11. 如何设置PIN+OTP模式登录?
    12. 答:需要在认证服务管理软件的用户管理中,将needpin设置为1,在needpin为1时,isfirst才起作用。当isfirst为0时,表明用户第一次登录,这时用户开始输入的不超过16个字符便会自动设为PIN;当isfirst为1时,表明用户不是第一次登录,不能设置PIN,用户必须使用已经设置的PIN+OTP登录。

  12. 如何在ePassOTP认证服务管理软件中重起服务?
    13. 答:在重新配置数据库后,需要重启OTP服务。在ePassOTP认证服务管理软件中,认证管理页面的最下面“RADIUS服务类型”中将前面的勾重新选择一下,就可以重新启动OTP服务。如果您做VPN等需要标准RADIUS的应用,请将“标准RADIUS协议”前面打上勾。

  13. ePassOTP是否防水?防震?
    14. 答:ePassOTP具有放水和防震功能。外观小巧结实。

  14. ePassOTP条形码是否重要?
    15. 答:ePassOTP背面的条形码很重要,请保存好,不要丢失。

  15. 为什么2次按键后,显示的口令会相同?
    16. 答:动态口令每隔15秒会变换一次,在15秒内显示是相同的。即在15秒内多次连续按键显示同一个口令,如果只按一次,那么显示的口令将在15秒后自动关闭。

  16. 在不进行认证时,能不断的按令牌按键,产生动态口令吗?
    17. 答:测试几次是可以的,但真正使用时不要这样做。因为产生的动态口令如果不用于认证,这时会造成动态口令令牌与认证服务器端存储的认证次数的不同步,累积超过一定次数后,会造成认证失败。解决这种认证失败,需要手动进行同步操作。

  17. 为什么有时输入动态口令后提示登录错误?
    18. 答:有几种情况。1)有可能是您输入动态口令所用时间较长,动态口令已经改变,这时只要重新输入新的动态口令即可。2)动态口令令牌与认证服务器端存储的认证次数不同步造成的,这时需要进行同步操作。

  18. 动态口令令牌的电池使用寿命多长?按键能使用多少次?
    19. 答:电池使用时间一般为3-5年。按键使用次数至少14000次。

  19. 什么是同步操作?
    20. 答:当用户按按键产生动态口令后,如果本次生成的口令并不用来认证,这时会造成动态口令令牌与认证服务器端存储的认证次数的不同步,若非认证动态口令次数累积到一定次数时,会认证失败,这时就需要进行同步操作。同步操作步骤见技术文档。

  20. 如何配置负载均衡?
    21. 答:启动ePassOTP身份认证系统服务器工具,在“认证服务器”栏中点击“添加”按钮,添加用于认证的服务器(用于认证的服务器上要安装认证服务器软件),在添加时可以设置优先级。然后在“认证代理”栏中,点击“添加代理主机”按钮,在出现的对话框中,“主机”后面填入安装认证代理软件机器的IP,“共享密钥”填入认证代理与认证服务器之间通讯的密钥,在“请选择使用的认证服务器”下面选择认证的服务器,这时可以选择多个,那么认证代理就会按照所选择的认证服务器的优先级顺序进行OTP认证。添加代理主机后,选择添加好的代理主机,单击“生成密钥文件”,生成后缀为.db的密钥文件,该文件在安装认证代理软件时需要,如果已经安装了代理软件,那么将新生成的.db文件改名为OTPProxy.db拷贝到系统目录system32下并覆盖原文件,不需重启计算机。另外,如果添加了多个认证服务器,所有认证服务器上的认证代理设置(代理主机IP,共享密钥)都要一致,这样产生的.db文件都会相同。

  21. 使用ePassOTP做本地登录保护时应该注意什么?
    22. 答:在要保护的机器上安装认证代理软件,启动代理配置工具,在进行“登录测试”前,要在认证服务管理软件中添加一个用户,用户名是要做登录保护的机器名称,您可以从点击“登录测试”出现的对话框中看到(如:test@TEST-PC)。另外如果认证服务软件安装在要登录保护的机器上时,在登录时,需要等到ePassOTP认证服务启动后才可以进行ePassOTP的登录认证,否则会失败,因此在输入完用户名和密码后要等一下,再在弹出的对话框中输入一次性口令,完成登录。

  22. 如何使用ePassOTP做域登录保护?
    23. 答:1)在认证服务管理工具软件中,“用户关联”中选择“从AD/LDAP”,点击“配置”按钮,填写域服务器的IP,域管理员的帐号和密码,这时会将域帐号导入到管理工具中。然后在“令牌管理”中为域用户分配令牌。2)在要登录的计算机上安装认证代理软件。安装后在开始菜单->坚石诚信->ePassOTP身分认证系统认证代理中运行“认证配置”,在本地配置中将“本地保护状态”开启。
 
Copyright © 2006 坚石诚信科技有限公司. 版权所有