ለድርጅት አካባቢ የርቀት መዳረሻን የማቅረብ አስፈላጊነት የእርስዎ ተጠቃሚዎችም ሆኑ አጋሮችዎ በድርጅትዎ ውስጥ ያለ የተወሰነ አገልጋይ ማግኘት የሚያስፈልጋቸው ብዙ ጊዜ እና ብዙ ጊዜ ይነሳል።
ለእነዚህ ዓላማዎች፣ አብዛኛዎቹ ኩባንያዎች የድርጅቱን የአካባቢ ሀብቶች ተደራሽ ለማድረግ እራሱን እንደ አስተማማኝ መንገድ ያረጋገጠውን የ VPN ቴክኖሎጂን ይጠቀማሉ።
የእኔ ኩባንያ የተለየ አይደለም, እና እኛ, ልክ እንደሌሎች, ይህንን ቴክኖሎጂ እንጠቀማለን. እና፣ ልክ እንደሌሎች ብዙ፣ Cisco ASA 55xx እንደ የርቀት መዳረሻ መግቢያ እንጠቀማለን።
የርቀት ተጠቃሚዎች ቁጥር እየጨመረ በመምጣቱ የምስክር ወረቀቶችን የማውጣት ሂደቱን ማመቻቸት ያስፈልጋል. ግን በተመሳሳይ ጊዜ, ይህ ደህንነትን ሳይጎዳ መደረግ አለበት.
ለራሳችን፣ በአንድ ጊዜ የይለፍ ቃሎችን በመጠቀም በሲስኮ SSL VPN ለመገናኘት ባለሁለት ደረጃ ማረጋገጫን በመጠቀም መፍትሄ አግኝተናል። እና ይህ ህትመት እንዲህ ዓይነቱን መፍትሄ በትንሽ ጊዜ እና በዜሮ ወጪዎች እንዴት እንደሚያደራጁ ይነግርዎታል አስፈላጊ ሶፍትዌር (ቀደም ሲል በመሰረተ ልማትዎ ውስጥ Cisco ASA ካለዎት)።
በኤስኤምኤስ የይለፍ ቃል መላክም ሆነ ቶከኖችን በመጠቀም ሃርድዌር እና ሶፍትዌሮችን (ለምሳሌ በሞባይል ስልክ ላይ) ለማግኘት ብዙ አማራጮችን እየሰጠ ገበያው የአንድ ጊዜ የይለፍ ቃሎችን ለማመንጨት በቦክስ መፍትሄዎች ተሞልቷል። ነገር ግን የቁጠባ ፍላጎት እና ለአሰሪዬ ገንዘብ የመቆጠብ ፍላጎት ፣ አሁን ባለው ችግር ፣ የአንድ ጊዜ የይለፍ ቃሎችን የማመንጨት አገልግሎትን ተግባራዊ ለማድረግ ነፃ መንገድ እንዳገኝ አድርጎኛል። ምንም እንኳን ነፃ ቢሆንም ፣ ከንግድ መፍትሄዎች ብዙም ያነሰ አይደለም (እዚህ ላይ ልብ ሊባል የሚገባው ይህ ምርት እንዲሁ የንግድ ሥሪት እንዳለው ነው ፣ ግን ወጪዎቹ በገንዘብ ፣ ዜሮ እንደሚሆኑ ተስማምተናል)።
ስለዚህ ፣ እኛ ያስፈልገናል
- አብሮገነብ የመሳሪያዎች ስብስብ ያለው የሊኑክስ ምስል - መልቲኦቲፒ ፣ ፍሪራዲዩስ እና nginx ፣ አገልጋዩን በድር ለመድረስ (http://download.multiotp.net/ - ለ VMware ዝግጁ የሆነ ምስል ተጠቀምኩ)
- ንቁ የማውጫ አገልጋይ
- በእውነቱ Cisco ASA (እኔ ፣ ለምቾት ፣ ASDM እጠቀማለሁ)
- የ TOTP ዘዴን የሚደግፍ ማንኛውም የሶፍትዌር ማስመሰያ (እኔ ፣ ለምሳሌ ፣ Google አረጋጋጭን እጠቀማለሁ ፣ ግን ያው FreeOTP ያደርገዋል)
ወደ ምስሉ መገለጥ ዝርዝር ውስጥ አልገባም። በውጤቱም፣ ዲቢያን ሊኑክስን መልቲኦቲፒ እና FreeRADIUS ቀድሞ የተጫነ፣ አብሮ ለመስራት የተዋቀረ እና ለኦቲፒ አስተዳደር የድር በይነገጽ ያገኛሉ።
ደረጃ 1. ስርዓቱን አስጀምረናል እና ለአውታረ መረቡ እናዋቅረዋለን
በነባሪ ስርዓቱ ከ root root ምስክርነቶች ጋር አብሮ ይመጣል። ሁሉም ሰው ከመጀመሪያው መግቢያ በኋላ የስር ተጠቃሚውን የይለፍ ቃል መቀየር ጥሩ እንደሆነ ገምቷል. እንዲሁም የአውታረ መረብ ቅንብሮችን መቀየር አለብዎት (ነባሪው '192.168.1.44' ከመግቢያው '192.168.1.1' ጋር ነው)። ከዚያ በኋላ ስርዓቱን እንደገና ማስጀመር ይችላሉ.
በActive Directory ውስጥ ተጠቃሚ ይፍጠሩ otp, በይለፍ ቃል MySuperPassword.
ደረጃ 2፡ግንኙነቱን አዋቅር እና አክቲቭ ዳይሬክተሪ ተጠቃሚዎችን አስመጣ
ይህንን ለማድረግ ወደ ኮንሶል, እና በቀጥታ ፋይሉን ማግኘት ያስፈልገናል multiotp.php, በመጠቀም ወደ አክቲቭ ዳይሬክተሩ ለመገናኘት መቼቶችን እናዋቅራለን.
ወደ ማውጫ ይሂዱ /usr/local/bin/multiotp/ እና የሚከተሉትን ትዕዛዞች አንድ በአንድ ያሂዱ።
./multiotp.php -config default-request-prefix-pin=0
የአንድ ጊዜ ፒን (0 ወይም 1) ሲያስገቡ ተጨማሪ (ቋሚ) ፒን እንደሚያስፈልግ ይወስናል።
./multiotp.php -config default-request-ldap-pwd=0
የአንድ ጊዜ ፒን (0 ወይም 1) ሲያስገቡ የጎራ ይለፍ ቃል እንደሚያስፈልግ ይወስናል።
./multiotp.php -config ldap-server-type=1
የኤልዲኤፒ አገልጋይ አይነት ተለይቷል (0 = መደበኛ የኤልዲኤፒ አገልጋይ ፣ በእኛ ሁኔታ 1 = ንቁ ማውጫ)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"
የተጠቃሚ ስሙን የሚወክልበትን ቅርጸት ይገልጻል (ይህ ዋጋ የሚወጣው ያለ ጎራ የተጠቃሚ ስሙን ብቻ ነው)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"
ተመሳሳይ, ለቡድኑ ብቻ
./multiotp.php -config ldap-group-attribute="memberOf"
ተጠቃሚው የቡድን አባል መሆን አለመሆኑን የሚወስንበትን ዘዴ ይገልጻል
./multiotp.php -config ldap-ssl=1
ከኤልዲኤፒ አገልጋይ ጋር ደህንነቱ የተጠበቀ ግንኙነት ለመጠቀም (አዎ፣ በእርግጥ!)
./multiotp.php -config ldap-port=636
ከኤልዲኤፒ አገልጋይ ጋር ለመገናኘት ወደብ
./multiotp.php -config ldap-domain-controllers=adSRV.domain.local
የActive Directory አገልጋይህ አድራሻ
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"
በጎራው ውስጥ ተጠቃሚዎችን የት መፈለግ እንደምትጀምር ይግለጹ
./multiotp.php -config ldap-bind-dn="[email protected]"
በActive Directory ውስጥ የመፈለጊያ መብቶች ያለው ተጠቃሚን ይግለጹ
./multiotp.php -config ldap-server-password="MySuperPassword"
ከገባሪ ማውጫ ጋር ለመገናኘት የተጠቃሚውን ይለፍ ቃል ይግለጹ
./multiotp.php -config ldap-network-timeout=10
ከገባሪ ዳይሬክተሩ ጋር ለመገናኘት የጊዜ ማብቂያ በማዘጋጀት ላይ
./multiotp.php -config ldap-time-limit=30
ለተጠቃሚው የማስመጣት ስራ የጊዜ ገደብ ያዘጋጁ
./multiotp.php -config ldap-activated=1
የActive Directory ግንኙነት ውቅረትን አንቃ
./multiotp.php -debug -display-log -ldap-users-sync
ተጠቃሚዎችን ከActive Directory እናስመጣለን።
ደረጃ 3 ለማስመሰያው የQR ኮድ ይፍጠሩ
እዚህ ሁሉም ነገር በጣም ቀላል ነው. በአሳሹ ውስጥ የ OTP አገልጋይን የድር በይነገጽ ይክፈቱ ፣ ይግቡ (ለአስተዳዳሪው ነባሪ የይለፍ ቃል መለወጥዎን አይርሱ!) እና “አትም” ቁልፍን ጠቅ ያድርጉ።
የዚህ ድርጊት ውጤት ሁለት የQR ኮዶችን የያዘ ገጽ ይሆናል። የመጀመሪያዎቹን በድፍረት ችላ እንላለን (ጎግል አረጋጋጭ / አረጋጋጭ / 2 ደረጃዎች አረጋጋጭ ጽሑፍ ቢኖረውም) እና ሁለተኛውን ኮድ ወደ ስልኩ የሶፍትዌር ማስመሰያ በድጋሚ በድፍረት እንቃኛለን።
(አዎ፣ እንዳይነበብ ለማድረግ ሆን ብዬ የQR ኮድ አበላሸሁት)።
በመተግበሪያዎ ውስጥ እነዚህን ድርጊቶች ከፈጸሙ በኋላ፣ በየሰላሳ ሴኮንዱ፣ ባለ ስድስት አሃዝ የይለፍ ቃል ይፈጠራል።
ለታማኝነት፣ በተመሳሳዩ በይነገጽ ውስጥ ማረጋገጥ ይችላሉ፡
በስልኩ ላይ ካለው መተግበሪያ የተጠቃሚ ስም እና የአንድ ጊዜ የይለፍ ቃል ማስገባት። አዎንታዊ ምላሽ አግኝተዋል? ስለዚህ እንቀጥላለን.
ደረጃ 4. FreeRADIUS አዋቅር እና ሞክር
ከላይ እንደገለጽኩት፣ መልቲኦቲፒ ከFreeRADIUS ጋር ለመስራት ተዋቅሯል፣ ሙከራዎችን ለማድረግ እና ስለእኛ የቪፒኤን መግቢያ መረጃ ወደ FreeRADIUS ውቅር ፋይል ለመጨመር ይቀራል።
ወደ የአገልጋይ ኮንሶል, ወደ ማውጫው እንመለሳለን /usr/local/bin/multiotp/, አስገባ:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1
ስለዚህ የበለጠ ዝርዝር ምዝግብ ማስታወሻን ጨምሮ።
በFreeRADIUS ደንበኛ ውቅር ፋይል ውስጥ (/ወዘተ/freeradius/clinets.conf) የሚዛመዱትን ሁሉንም መስመሮች አስተያየት ይስጡ localhost እና ሁለት ግቤቶችን ያክሉ
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}
- ለፈተና
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}
- ለ VPN መግቢያችን።
FreeRADIUSን እንደገና ያስጀምሩ እና ለመግባት ይሞክሩ፡
radtest username 100110 localhost 1812 testing321
የት የተጠቃሚ ስም = የተጠቃሚ ስም 100110 = በስልኩ ላይ ባለው መተግበሪያ የተሰጠን የይለፍ ቃል ፣ localhost = RADIUS አገልጋይ አድራሻ 1812 - RADIUS አገልጋይ ወደብ; test321 - የ RADIUS አገልጋይ ደንበኛ ይለፍ ቃል (በማዋቀሩ ውስጥ የገለፅነው)።
የዚህ ትዕዛዝ ውፅዓት የሚከተለውን ይመስላል።
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20
አሁን ተጠቃሚው በተሳካ ሁኔታ የተረጋገጠ መሆኑን ማረጋገጥ አለብን. ይህንን ለማድረግ የ multiotp ሎግ እራሱን እንመለከታለን፡-
tail /var/log/multiotp/multiotp.log
እና የመጨረሻው መግቢያ ካለ:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1
ከዚያ ሁሉም ነገር በጥሩ ሁኔታ ሄደ, እና እኛ ማከናወን እንችላለን
ደረጃ 5 Cisco ASA ን ያዋቅሩ
አስቀድመን በSLL VPN በኩል ለመዳረሻ የተዋቀረ ቡድን እና ፖሊሲ እንዳለን እንስማማ፣ ከገባሪ ዳይሬክተሩ ጋር በጥምረት የተዋቀረ እና ለዚህ መገለጫ ባለሁለት ደረጃ ማረጋገጫ ማከል አለብን።
1. አዲስ የ AAA አገልጋይ ቡድን አክል፡
2. የኛን መልቲኦቲፒ አገልጋይ ወደ ቡድኑ አክል፡
3. ደንብ የግንኙነት መገለጫየActive Directory አገልጋዮችን ቡድን እንደ ዋና የማረጋገጫ አገልጋይ ማዋቀር፡-
4. በትሩ ውስጥ የላቀ -> ማረጋገጫ እንዲሁም የActive Directory አገልጋዮችን ቡድን ይምረጡ፡-
5. በትሩ ውስጥ የላቀ -> ሁለተኛ ደረጃ ማረጋገጫ መልቲኦቲፒ አገልጋይ የተመዘገበበትን የተፈጠረ አገልጋይ ቡድን ይምረጡ። የክፍለ ጊዜው ተጠቃሚ ስም ከዋናው AAA አገልጋይ ቡድን የተወረሰ መሆኑን ልብ ይበሉ፡-
ቅንብሮችን ተግብር እና
ደረጃ 6 የመጨረሻው ነው
ለኤስኤልኤል ቪፒኤን ባለ ሁለት ደረጃ ማረጋገጫ ለእኛ የሚሰራ መሆኑን ያረጋግጡ፡
ቮይላ! በሲስኮ AnyConnect VPN ደንበኛ በኩል ሲገናኙ፣ ለሁለተኛ ጊዜ የአንድ ጊዜ የይለፍ ቃልም ያስፈልጋል።
ይህ ጽሑፍ አንድን ሰው እንደሚረዳው ተስፋ አደርጋለሁ, እናም ለአንድ ሰው ለሃሳብ ምግብ እንደሚሰጥ, ይህንን እንዴት መጠቀም እንደሚችሉ, ነፃ የኦቲፒ አገልጋይ፣ ለሌሎች ተግባራት። ከፈለጉ በአስተያየቶቹ ውስጥ ያካፍሉ.
ምንጭ: hab.com