OWA＋宁盾双因素账号登录保护解决方案

OWA＋宁盾双因素认证解决方案

P1

一、为什么需要双因素认证解决方案？

1、员工账号安全隐患：

一般企业为员工提供邮箱账号密码后，员工需更改默认密码，但部分人员一直使

用的默认弱密码；

选择便于记忆和书写的简单密码；

无意中将账号密码透入给同事，致使账号密码的隐私性缺失；

市场上密码爆破工具、字典轮询工具对密码的攻击性不断加强。

2、管理员账号密码管理成本加重：

账号密码被盗，需管理员重置密码；

密码设置难度越来越大，要求“16位英文数字组合”等；

内部人员对外泄露账号密码，账号密码管理失控；

离职员工账号密码未及时回收的人为失误。

受企业移动化影响，员工允许随时随地办公，很多情况下，账号密码成访问企业资

源的唯一保护屏障。然而员工账号密码的不恰当保护及外在市场攻击的不断强大，

管理员密码管理成本加重，企业资源无法得到安全保障。

如果您的公司正在被以上问题烦扰，是时候使用双因素认证解决方案了！

OWA＋宁盾双因素认证解决方案

P2

二、宁盾双因素认证产品概要

一套动态密码认证系统由认证服务器及动态令牌两部分组成。认证服务器与动态令

牌之间通过“令牌种子”将两者进行关联，“令牌种子”与时钟（服务器、令牌皆

有内置时钟）通过密码杂凑算法生成“动态口令”。

认证服务器动态口令：认证服务器存储令牌种子，将其与用户账号绑定，在服务

器内生成该用户可用的“动态口令”。

动态令牌口令：每个动态令牌对应服务器的某个令牌种子，令牌激活后，生成动

态口令。

当用户登录认证时，输入账号和动态令牌口令，并将其提交至认证服务器，认证服

务器将其与服务器内动态口令对比，完成动态口令的校验过程。

宁盾双因素认证系统由认证服务器及双因素令牌组成。其中认证服务器负责令牌的

派发、校验、权限管理及审计等。双因素令牌包括除手机令牌、短信令牌、硬件令

牌、微信令牌等动态令牌外，还为用户提供手机“扫一扫”认证，并兼容第三方令

牌（如RSA SecurID、Google身份验证器等）。

认证原理：

OWA＋宁盾双因素认证解决方案

P3

三、多令牌形式

手机APP动态密码生成器。动态密码每隔30/60秒变化一次，每个密码有且仅有一次

有效机会，具有防破解和字典轮询的功能。

特色：

支持LOGO替换功能；

提供短信、邮件、自服务平台等激活方式；

支持多账号绑定同一个令牌；

支持同一账号绑定多个令牌；

批量派发、增量派发、自动化派发等减轻运维管理

成本。

硬件令牌

手机令牌

短信令牌

微信令牌

与企业微信（钉钉）对接，将宁盾令牌内嵌到企业微信（钉钉）应用平台内，用户无

需额外安装手机APP。

特色：

本土化的账号加固体验；

激活简单，省略令牌的派发过程；

省略APP令牌的维护过程。

优化用户登录体现，绑定用户手机与PC的关系，用户使用企业微信（钉钉）通过

“扫一扫”实现PC端免密认证。此令牌主要应用于SSO单点登录及有线无线网络认

证场景。

同时兼容第三方令牌系统，包括RSA SecurID、Google身份验证器

等，为客户提供双因素令牌认证替换过渡解决方案。

1、手机令牌

2、企业微信（钉钉）令牌

3、“扫一扫”认证

OWA＋宁盾双因素认证解决方案

P4

四、OWA＋双因素部署架构

部署宁盾认证服务器，与客户Outlook（简称OWA）系统、用户账号源系统对接，单

点可采用Heartbeat/Keepalive+MySQL主从复制的部署模式，多分支可采用MySQL一

主多从部署模式。

安装环境

高可靠部署架构

兼容本地及外部数据源，包括AD、LDAP、OpenDJ、PoP3、HUB等多账号源形式。

账号源兼容性

除OWA外，可兼容从基础设施到网络认证再到本地及云应用的双因素认证保护，实

现VPN、Citrix、VMWare、华为云桌面、KVM、堡垒机、Sharepoint、服务器（云）

、数据库、路由交换设备、有线无线认证、单点登录（SSO）的统一账号加固。

其它应用场景兼容性

用户数500人以下

认证服务器需求：

100～200G磁盘

4核CPU

8G内存

与网络设备可达

用户数500～1500人

认证服务器需求：

200~300G 磁盘

4～6核CPU

16G内存

与网络设备可达

用户数1500～3000人

认证服务器需求：

服务器500G磁盘

8核CPU

32G内存

与网络设备可达

OWA＋宁盾双因素认证解决方案

P5

四、OWA＋双因素认证流程

与原来登录相比，只需在账号密码认证的基础上增加动态密码校验窗口，不影响用

户认证体验。

第一步：在登录界面中输入用户名密码并提交。

第二步：在动态密码认证窗口输入动态密码校验即可。

安全性体现：在多步认证过程中，用户提交用户名、密码后，认证服务器根据账号

源系统的正确返回值向用户终端发送动态密码校验窗口，直至动态密码校验成功，

才允许用户登录OWA邮件客户端。

认证流程

OWA＋宁盾双因素认证解决方案

P6

四、典型案例

滴滴先后购入宁盾手机令牌及硬件令牌，用于OWA及基础

设施账号登录保护。

诺亚财富OWA邮件系统于2018年上半年使用宁盾双因素认

证账号登录保护。

游族网络于2017年使用宁盾双因素认证系统，用于OWA账

号登录保护。

滴滴出行

诺亚财富

游族网络

PPTV于2018年使用宁盾双因素认证系统，用于OWA账号登

录保护。

PPTV

凡普金科OWA邮件系统使用宁盾双因素认证账号登录保护，

同时增设宁盾有线无线认证项目。

凡普金科

孔子学院OWA邮件系统于2017年使用宁盾双因素认证账号登

录保护。

孔子学院

附录 OWA 整合 DKEY 双因素认证配置方法 【注】安装前请确认.Net Framework 3.5 已经成功安装 1. 如果不是首次安装，先停止 World Wide Web Publising Service 服务，进入

C:\Windows\assembly 目录删除 DKEYWebAuth; 2. 将压缩包解压，打开 installer 文件夹，右击 install.bat，使用管理员身份执行：

3. 打开 IIS 管理器，找到 OWA 站点，点击“浏览”：

4. 修改 OWA 目录下的 web.config 文件，查找 appSettings，嵌入（黄色标注需要修改为步

骤 13～15 的具体值），其中 DKEYWebAuth.DynamicPasswordLength 参数指的是有多少位

密码后缀会传递给认证服务器作为动态密码校验，默认为 6： <!-- DKEY AM Authentication Server Address -->

<add key="DKEYWebAuth.ServiceAddress" value="192.168.56.1" />

<!-- DKEY AM Secondary Authentication Server Address -->

<add key="DKEYWebAuth.SecondaryServiceAddress" value="192.168.56.2" />

<!-- DKEY AM authentication server port -->

<add key="DKEYWebAuth.ServicePort" value="8080" />

<!-- Timeout -->

<add key="DKEYWebAuth.Timeout" value="3" />

<!-- Bypass On Failure -->

<add key="DKEYWebAuth.BypassOnFailure" value="true" />

<!-- Tenant Name -->

<add key="DKEYWebAuth.TenantName" value="customer" />

<!-- Device name -->

<add key="DKEYWebAuth.AccessServerName" value="owa" />

<!-- Shared secret -->

<add key="DKEYWebAuth.SharedSecret" value="123456" />

<!-- Login form infos -->

<add key="DKEYWebAuth.LoginActionAbsoluteUrls" value="/owa/auth.owa,/owa/auth/owaauth.dll" />

<add key="DKEYWebAuth.LoginUserNameParam" value="username" />

<add key="DKEYWebAuth.LoginPasswordParam" value="password" />

<add key="DKEYWebAuth.DynamicPasswordLength" value="6"/>

<add key="DKEYWebAuth.RejectNotRegisteredUser" value="false" />

如下图：

5. 修改 OWA 目录下的 web.config 文件，查找 OWA HTTP Modules，在 modules 节点最顶端

嵌入： <add name="OneStepAuthModule" type="NDKEY.WebAuth.OneStepAuthModule, DKEYWebAuth, Version=1.0.0.0, Culture=neutral, PublicKeyToken=12f9ceed9acb9e48" /> 类似：

6. 复制 dkeyowa 目录到 OWA 服务器磁盘中的某个位置：

7. 在 IIS 管理器中添加应用程序【注】dkeyowa 目录和目录中的文件必须为 everyone用户

添加只读权限：

8. 修改 dkeyowa/web.config 文件，修改标注的配置（参考第三步）：

9. 拷贝 jquery.min.js 到 owa 安装目录（参考第二步）的 auth 目录，并备份 logon.aspx:

10. 覆盖 owa2013_sample_logon.aspx 或 owa2016_sample_logon.aspx 到 logon.aspx：

11. 在服务中重启 World Wide Web Publishing Service：

12. 登录到 DKEY AM 认证服务器，创建商户，注意商户名要与步骤 3 配置的一致：

13. 创建 OWA 所使用的策略集，配置为不使用静态密码，使用动态密码：

14. 创建 OWA 设备，设备名称要与步骤 3 的配置一致：

15. 给 OWA 的设备配置步骤 7 中创建的配置集：

16. 创建本地测试用户，静态密码可随意输入：

17. 绑定或派发令牌：

18. 尝试登录，输入用户名和静态密码之后会弹出动态密码输入框：

上海宁盾信息科技有限公司

咨询热线：400-658-2855 官网：http://www.nington.com

总部：上海市徐汇区田林路 487 号宝石大楼 703

北京：北京市海淀区上地信息产业基地三街中黎科技园 1 号楼 4 层 C 段 481

深圳：深圳市南山高新科技园中区讯美科技广场 3 号楼 15 层 B09