OpManager 中的双重验证

双重验证 (TFA) 提供了额外的身份验证层级，通过要求用户提供唯一的基于时间的一次性密码 (TOTP)，该密码由验证器应用生成，或通过发送到用户已配置邮箱的一次性密码 (OTP)，以此提高安全性。TFA 加强了身份验证并防止未授权访问。

注意：此功能从 OpManager 版本 125415 起可用。

OpManager 中的双重验证：用户管理页面

在 OpManager 中配置 TFA 的步骤

进入设置 -> 常规设置 -> 身份验证 -> 双重验证。
选择“启用双重验证 (TFA)”选项。
选择所需的验证模式：验证器应用（通过 Google Authenticator、Microsoft Authenticator、Duo 等验证器应用生成 TOTP）或邮箱验证（OTP 将发送到用户已配置的邮箱地址）。

注意：邮箱验证模式需要先配置邮件 Server 设置。
输入希望将用户浏览器信任的天数。在此期间，用户在该浏览器登录时将无需提供 TOTP/OTP。如果用户在登录时勾选了“信任此浏览器”，则该设置生效。
点击“保存”。

注意：如果选择“验证器应用”作为验证模式，所有用户将在下次登录时被提示配置其验证器应用。
⟨⟩
如果选择验证器应用作为验证模式：
在下次登录时，按照屏幕上的步骤在您的移动设备上安装并配置所需的验证器应用。
输入验证器应用/邮箱中生成或收到的 OTP 以登录。
⟨⟩

对于基于 TOTP 的验证：
- 由于 TOTP 是基于时间的，因此已配置移动设备上的时间必须与 Server 时间保持同步。
- 如果因已配置的移动设备丢失或其他原因需要新的 TOTP 密钥，管理员用户可以前往设置 -> 常规设置 -> 用户管理，在对应用户的“操作”下点击“重置 TOTP 密钥”图标。
- 如果默认的 “admin” 用户无法登录产品且已丢失配置的移动设备，请执行以下脚本 “ResetSuperAdminTOTP.bat/sh” 来重置超级管理员密码。
对于基于邮箱的验证：
- 当验证模式选择为“邮箱”时，OTP 将通过邮件发送到用户已配置的邮箱地址。因此请确保您配置了正确的邮箱地址。如果配置的邮箱地址不正确，管理员用户有权限配置正确的邮箱地址。
- 如果由于邮件 Server 配置变更导致用户无法通过邮箱接收 OTP，请执行以下脚本 “DisableTFA.bat/sh” 以暂时禁用 TFA。

可能会出现这样的情况：邮件 Server 在通过邮件发送 OTP 时出现问题，或者安装了 TOTP 验证器应用的移动设备丢失或无法访问。在此类场景下，由于无法通过 OTP 提示，OpManager Server 的 UI 将无法访问。

在此情况下，对于低于版本 127257 的版本，请联系支持团队。从版本 127257 及更高版本开始，请按照以下步骤操作：

完全停止 OpManager 服务，并打开 <OpManager_Home>/logs/wrapper.log 文件，检查文件末尾是否存在以下行，以确保 OpManager 服务已完全停止。
在 Windows 中，以管理员用户身份在安装 OpManager 的 Server 上打开命令提示符；在 Linux 中，以 root 用户身份打开终端。
导航到 <opmanager_home>/bin 目录并执行脚本文件。
系统会提示您输入超级管理员用户密码以验证此次操作。
脚本成功执行后会显示成功消息。

在 Windows 中，脚本必须以安装 OpManager 的机器上的管理员用户身份执行；在 Linux 中，运行脚本需要 root 权限。如果权限不足，将显示上述错误消息。

必须完全停止 OpManager 服务后才能运行脚本。可通过服务管理器停止 OpManager 服务，或执行 <opmanager_home>/bin/shutdown.bat/sh 脚本。
打开 <OpManager_Home>/logs/wrapper.log 文件，并检查文件末尾是否存在以下行，以确保 OpManager 服务已完全停止。

提供的超级管理员用户密码无效。任何后续操作都将被限制，脚本执行会被终止。必须提供有效的超级管理员用户密码才能成功执行此操作。