Этот модуль предоставляет вики-системе двухфакторную аутентификацию. Он разработан для работы с любым механизмом аутентификации на основе вики, поддерживающим метод 'getUsers' (дополнительную информацию см. ниже). Для работы этого модуля требуется как минимум один модуль двухфакторной аутентификации (перечислены ниже).

ПРОЧИТАЙТЕ ПЕРЕД ОБНОВЛЕНИЕМ. Плагин двухфакторной аутентификации был переписан в 2022 году. При обновлении с любой версии, выпущенной до 07.04.2022, вам также необходимо обновить все плагины, перечисленные ниже! Не все прежние поставщики двухфакторной аутентификации были обновлены. Настройки двухфакторной аутентификации пользователя должны продолжать работать после обновления. Старый плагин по-прежнему можно скачать.

Обратите внимание, что порядок установки и удаления плагинов двухфакторной аутентификации очень важен! Для установки используйте следующий порядок, а для удаления — обратный:

1. Установите плагин атрибутов.
2. Установите плагин Two Factor Core (вот этот).
3. Установите хотя бы один сервис двухфакторной аутентификации:
   • Email – Отправка одноразового пароля пользователю с использованием его адреса электронной почты, зарегистрированного в DokuWiki.
   • Alternate Email – отправка одноразового пароля пользователю с использованием адреса электронной почты, не зарегистрированного в DokuWiki.
   • Google Authenticator – разрешите использование Google Authenticator для генерации токенов для входа в систему.
   • Telegram – Отправьте одноразовый пароль в Telegram.

Найдите и установите плагин с помощью Менеджера расширений. Инструкции по ручной установке плагинов см. в разделе «Плагины».

Для корректной работы этого плагина требуется предварительная настройка. Однако он не будет конфликтовать с существующими плагинами аутентификации. Этот плагин «оборачивает» модуль аутентификации, не позволяя пользователю получить доступ к вики до завершения двухфакторной аутентификации.

В зависимости от настроек модуля двухфакторной аутентификации, пользователи смогут продолжать пользоваться вики без использования двухфакторной аутентификации.

• Version upped (2024/03/28 01:51)
• add missing config metadata (2024/03/27 14:47)
• Version upped (2024/02/22 01:51)
• allow to skip 2fa for trusted IP addresses (2024/02/21 12:56)
• Version upped (2023/07/12 00:52)
• avoid rogue 2fa code generations (2023/07/11 16:13)
• protect password reset with 2fa (2023/07/11 13:56)
• Version upped (2023/06/13 00:51)

Это НЕ плагин аутентификации. Вместо этого, это барьер между вашими пользователями и вики. Когда пользователь входит в систему, но не прошел двухфакторную аутентификацию, он перенаправляется на страницу настройки двухфакторной аутентификации (если она обязательна для вики) или на отдельный экран, где он может ввести любой полученный одноразовый пароль (OTP). Это означает, что теоретически это должно работать с ЛЮБЫМ плагином аутентификации.

Для использования двухфакторной аутентификации пользователю необходимо сначала настроить собственные параметры двухфакторной аутентификации, если это требуется для каких-либо дополнительных модулей. Эта настройка выполняется на странице конфигурации двухфакторной аутентификации.

Если в вики-сайте не используется обязательная двухфакторная аутентификация, пользователи могут отказаться от её использования.

Пользователям предоставляется список доступных поставщиков двухфакторной аутентификации, и они могут добавить любого из них в свою учетную запись. Добавление поставщика потребует подтверждения настройки с помощью одноразового пароля.

Пользователи могут установить предпочитаемого поставщика услуг в качестве поставщика услуг по умолчанию.

После того как пользователь настроит хотя бы одного поставщика двухфакторной аутентификации, вики-сайт запросит второй фактор авторизации после успешного обычного входа в систему.

Пользователь может использовать любой из настроенных им провайдеров аутентификации, поэтому настройка как Google Authenticator, так и альтернативного одноразового пароля по электронной почте позволяет пользователю использовать любой из этих методов для входа в систему. Следует помнить, что для эффективной работы нескольких модулей необходимо исключить единую точку отказа, например, настройка Google Authenticator и SMS-сообщений не сработает, если пользователь потеряет свой мобильный телефон.

Любой пользователь, не настроивший двухфакторную аутентификацию, может войти в систему без ввода токена или одноразового пароля и будет перенаправлен на страницу настройки двухфакторной аутентификации, если администратор вики потребует её использования.

На странице администратора можно включить сброс настроек двухфакторной аутентификации для пользователей, которым удалось заблокировать доступ.

На странице администратора нажмите кнопку «Сброс» рядом с именем пользователя. Это удалит все настройки пользователя, и ему придётся заново настраивать двухфакторную аутентификацию. Возможности индивидуального управления настройками для предотвращения несанкционированного доступа нет.

• optinout– Настройте два факторных параметра как optin, optout, и mandatory. По умолчанию:optin
• useinternaluid– При отключении двухфакторной аутентификации она привязана к IP-адресу пользователя. При каждом изменении IP-адреса пользователю необходимо проходить повторную аутентификацию. Это повышает безопасность, но может быть неудобно для пользователей. По умолчанию:enabled
• trustedIPs– Регулярное выражение для сопоставления с IP-адресом пользователя. Пользователям с совпадающим IP-адресом не требуется указывать второй фактор аутентификации. Полезно, например, для требования двухфакторной аутентификации только вне офиса. По умолчанию: не задано.

Дополнительные параметры настройки доступны для отдельных поставщиков услуг.

Провайдеры — это плагины действий, наследующие от класса \dokuwiki\plugin\twofactor\Provider. Они должны реализовывать как минимум все абстрактные методы, но могут переопределять любые другие методы в этом классе. Лучше всего ознакомиться с существующими плагинами провайдеров, чтобы узнать больше.

Следующие старые поставщики услуг еще не обновлены для работы с этой версией плагина:

• SMS-устройство
• SMS-шлюз
• Юбиаут

Пожалуйста, свяжитесь с нами, если вы хотите заказать обновление указанных выше сервисов или совершенно новый сервис.

• Ссылка на оригинальную статью
• Скачать twofactor