集成指南 › 与 CA AuthMinder 集成 › 从用户角度看到的强身份验证

从用户角度看到的强身份验证

通知 interactive_restricted 组中的用户，他们必须验证 CA ControlMinder 端点以便对文件获得写入权限，并可以使用 sesu 切换用户。 为了验证自己的身份，用户将运行 sepromote 实用程序，并输入一次性密码 (OTP)。

注意：有关 sesu 和 sepromote 实用程序的更多信息，请参阅《CA ControlMinder 参考指南》的“实用程序”一章。

从用户角度来看，强身份验证如何工作：

1. 您（interactive_restricted 组中的用户）登录系统。

   您会收到您处于受限制模式的消息。 Interactive_restricted 组的用户可以读取文件并执行指令。 他们无法修改除了他们有权修改的预定义非文件列表之外的任何文件。 该消息将提醒您运行 sepromote 实用程序以删除限制。

2. 您想请求写入访问，并运行 sepromote 实用程序以进行身份验证。

   sepromote -u username
   

   sepromote 实用程序将提示您输入一次性密码。

3. 运行 CA ArcotID OTP 桌面客户端（或 CA ArcotID OTP 移动应用程序）。 登录，输入您的 PIN，并生成通行码。

   注意：通行码生成是脱机过程。 您的 OTP 客户端不需要连接到 CA AuthMinder 来生成通行码。

4. 在 sepromote 提示时输入密码。

   CA AuthMinder 将验证通行码，且 sepromote 将验证您的身份。 您现在在常规策略规则下工作。

5. 在断开连接和开始新会话时，您必须再次进行身份验证。

注意：如果具有当前 CA ControlMinder 版本的系统中的已验证用户登录到旧版本系统，他们将无法保留其强身份验证。