企业内部电子档案系统多因素认证从零落地全流程实操指南
前置准备
所需环境与资源
- 已部署的企业电子档案系统,本文以主流开源方案OpenEduArchive为例,源码下载地址:
https://gitee.com/open-arch/openedu-archive,一键部署包可直接在发布页下载 - Linux服务器(CentOS 7+/Ubuntu 20.04+均可),内存≥1G,开放80/443端口
- 档案系统超级管理员权限账号,以及待测试的普通用户账号
本次采用零成本开源的TOTP(基于时间一次性密码)方案,不需要额外付费购买服务,满足等保对档案系统身份认证的要求,全程10分钟即可完成配置。
第一步:后台开启多因素认证模块
使用超级管理员账号登录档案系统后台,默认后台地址为 https://你的档案域名/admin,完成初始登录后按以下步骤操作:
1.1 进入安全配置入口
在后台左侧导航栏,依次点击系统设置 → 安全配置 → 认证管理,进入多因素认证配置页面。
1.2 基础参数配置
在配置页找到「多因素认证」配置项,完成以下设置:
- 勾选开启多因素认证功能
- 认证方式下拉选择TOTP 基于时间一次性密码
- 如果需要强制所有用户开启,勾选未绑定用户禁止访问系统,该选项可根据企业要求选择
- 其余参数保持默认即可,点击页面底部的「保存配置」按钮
如果你使用的是官方一键部署包,到这里已经完成核心配置,直接跳转到第三步用户绑定流程即可;如果是源码编译部署,需要继续完成第二步的依赖配置。
第二步:源码部署的依赖与配置修改
打开后端项目的pom.xml文件,添加以下依赖,直接复制粘贴到
打开项目的src/main/resources/application.yml配置文件,添加以下配置,替换占位符为你自己的内容:
修改完成后,执行以下命令重新打包部署服务:
```bash 清理打包,跳过测试 mvn clean package -DskipTests 后台运行服务,替换为你自己的jar包路径 nohup java -jar target/archive-admin-.jar > /var/log/archive-admin.log 2>&1 & ```第三步:用户端绑定多因素认证
配置完成后,用户需要完成绑定才能使用多因素登录,步骤如下:
3.1 进入绑定页面
用户登录档案系统前台,点击右上角个人头像,选择个人设置 → 安全中心,找到「多因素认证绑定」选项,点击「开始绑定」。
3.2 手机扫码绑定
页面会生成专属绑定二维码,用户在手机上安装身份验证器APP:安卓可从F-Droid下载Google Authenticator:https://f-droid.org/packages/com.google.android.apps.authenticator2/,苹果可直接在App Store搜索「Google Authenticator」或「微软Authenticator」下载。
打开APP后点击「添加账号」→ 扫描页面二维码,APP会自动生成档案系统的6位动态密码,将当前动态密码输入页面输入框,点击「确认绑定」。
绑定成功后,系统会生成10个一次性备份码,必须要求用户截图保存到安全位置,用于手机丢失后登录账号,备份码不可找回。
第四步:功能测试与问题排查
功能验证流程
退出当前账号重新登录,输入正确的账号密码后,页面会跳转到多因素认证页,输入身份验证器显示的当前动态码,点击确认即可登录,验证成功即完成全部落地。
常见卡壳问题解决
-
动态码一直提示验证失败:该问题90%是服务器时间不同步导致,TOTP依赖时间一致,误差超过1分钟就会失败,执行以下命令同步时间:
CentOS系统执行:
```bash yum install -y ntpdate ntpdate ntp.aliyun.com hwclock -w ```Ubuntu系统执行:
```bash apt update && apt install -y ntpdate ntpdate ntp.aliyun.com hwclock -w ``` 执行完成后重新输入最新动态码即可验证成功。 - 用户更换手机需要重新绑定:管理员进入后台「用户管理」,找到对应用户,点击「安全操作」→「重置多因素认证」,用户下次登录后即可重新绑定新的验证器。
- 用户丢失手机无法登录:管理员在后台重置多因素认证后,用户可直接用密码登录,也可以使用之前保存的备份码在登录页输入验证。
相关文章
