ፕሮሆስተር > ጦማር > አስተዳደር > ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)

ለድርጅት አካባቢ የርቀት መዳረሻን የማቅረብ አስፈላጊነት የእርስዎ ተጠቃሚዎችም ሆኑ አጋሮችዎ በድርጅትዎ ውስጥ ያለ የተወሰነ አገልጋይ ማግኘት የሚያስፈልጋቸው ብዙ ጊዜ እና ብዙ ጊዜ ይነሳል።

ለእነዚህ ዓላማዎች፣ አብዛኛዎቹ ኩባንያዎች የድርጅቱን የአካባቢ ሀብቶች ተደራሽ ለማድረግ እራሱን እንደ አስተማማኝ መንገድ ያረጋገጠውን የ VPN ቴክኖሎጂን ይጠቀማሉ።

የእኔ ኩባንያ የተለየ አይደለም, እና እኛ, ልክ እንደሌሎች, ይህንን ቴክኖሎጂ እንጠቀማለን. እና፣ ልክ እንደሌሎች ብዙ፣ Cisco ASA 55xx እንደ የርቀት መዳረሻ መግቢያ እንጠቀማለን።

የርቀት ተጠቃሚዎች ቁጥር እየጨመረ በመምጣቱ የምስክር ወረቀቶችን የማውጣት ሂደቱን ማመቻቸት ያስፈልጋል. ግን በተመሳሳይ ጊዜ, ይህ ደህንነትን ሳይጎዳ መደረግ አለበት.

ለራሳችን፣ በአንድ ጊዜ የይለፍ ቃሎችን በመጠቀም በሲስኮ SSL VPN ለመገናኘት ባለሁለት ደረጃ ማረጋገጫን በመጠቀም መፍትሄ አግኝተናል። እና ይህ ህትመት እንዲህ ዓይነቱን መፍትሄ በትንሽ ጊዜ እና በዜሮ ወጪዎች እንዴት እንደሚያደራጁ ይነግርዎታል አስፈላጊ ሶፍትዌር (ቀደም ሲል በመሰረተ ልማትዎ ውስጥ Cisco ASA ካለዎት)።

በኤስኤምኤስ የይለፍ ቃል መላክም ሆነ ቶከኖችን በመጠቀም ሃርድዌር እና ሶፍትዌሮችን (ለምሳሌ በሞባይል ስልክ ላይ) ለማግኘት ብዙ አማራጮችን እየሰጠ ገበያው የአንድ ጊዜ የይለፍ ቃሎችን ለማመንጨት በቦክስ መፍትሄዎች ተሞልቷል። ነገር ግን የቁጠባ ፍላጎት እና ለአሰሪዬ ገንዘብ የመቆጠብ ፍላጎት ፣ አሁን ባለው ችግር ፣ የአንድ ጊዜ የይለፍ ቃሎችን የማመንጨት አገልግሎትን ተግባራዊ ለማድረግ ነፃ መንገድ እንዳገኝ አድርጎኛል። ምንም እንኳን ነፃ ቢሆንም ፣ ከንግድ መፍትሄዎች ብዙም ያነሰ አይደለም (እዚህ ላይ ልብ ሊባል የሚገባው ይህ ምርት እንዲሁ የንግድ ሥሪት እንዳለው ነው ፣ ግን ወጪዎቹ በገንዘብ ፣ ዜሮ እንደሚሆኑ ተስማምተናል)።

ስለዚህ ፣ እኛ ያስፈልገናል

- አብሮገነብ የመሳሪያዎች ስብስብ ያለው የሊኑክስ ምስል - መልቲኦቲፒ ፣ ፍሪራዲዩስ እና nginx ፣ አገልጋዩን በድር ለመድረስ (http://download.multiotp.net/ - ለ VMware ዝግጁ የሆነ ምስል ተጠቀምኩ)
- ንቁ የማውጫ አገልጋይ
- በእውነቱ Cisco ASA (እኔ ፣ ለምቾት ፣ ASDM እጠቀማለሁ)
- የ TOTP ዘዴን የሚደግፍ ማንኛውም የሶፍትዌር ማስመሰያ (እኔ ፣ ለምሳሌ ፣ Google አረጋጋጭን እጠቀማለሁ ፣ ግን ያው FreeOTP ያደርገዋል)

ወደ ምስሉ መገለጥ ዝርዝር ውስጥ አልገባም። በውጤቱም፣ ዲቢያን ሊኑክስን መልቲኦቲፒ እና FreeRADIUS ቀድሞ የተጫነ፣ አብሮ ለመስራት የተዋቀረ እና ለኦቲፒ አስተዳደር የድር በይነገጽ ያገኛሉ።

ደረጃ 1. ስርዓቱን አስጀምረናል እና ለአውታረ መረቡ እናዋቅረዋለን
በነባሪ ስርዓቱ ከ root root ምስክርነቶች ጋር አብሮ ይመጣል። ሁሉም ሰው ከመጀመሪያው መግቢያ በኋላ የስር ተጠቃሚውን የይለፍ ቃል መቀየር ጥሩ እንደሆነ ገምቷል. እንዲሁም የአውታረ መረብ ቅንብሮችን መቀየር አለብዎት (ነባሪው '192.168.1.44' ከመግቢያው '192.168.1.1' ጋር ነው)። ከዚያ በኋላ ስርዓቱን እንደገና ማስጀመር ይችላሉ.

በActive Directory ውስጥ ተጠቃሚ ይፍጠሩ otp, በይለፍ ቃል MySuperPassword.

ደረጃ 2፡ግንኙነቱን አዋቅር እና አክቲቭ ዳይሬክተሪ ተጠቃሚዎችን አስመጣ
ይህንን ለማድረግ ወደ ኮንሶል, እና በቀጥታ ፋይሉን ማግኘት ያስፈልገናል multiotp.php, በመጠቀም ወደ አክቲቭ ዳይሬክተሩ ለመገናኘት መቼቶችን እናዋቅራለን.

ወደ ማውጫ ይሂዱ /usr/local/bin/multiotp/ እና የሚከተሉትን ትዕዛዞች አንድ በአንድ ያሂዱ።

./multiotp.php -config default-request-prefix-pin=0

የአንድ ጊዜ ፒን (0 ወይም 1) ሲያስገቡ ተጨማሪ (ቋሚ) ፒን እንደሚያስፈልግ ይወስናል።

./multiotp.php -config default-request-ldap-pwd=0

የአንድ ጊዜ ፒን (0 ወይም 1) ሲያስገቡ የጎራ ይለፍ ቃል እንደሚያስፈልግ ይወስናል።

./multiotp.php -config ldap-server-type=1

የኤልዲኤፒ አገልጋይ አይነት ተለይቷል (0 = መደበኛ የኤልዲኤፒ አገልጋይ ፣ በእኛ ሁኔታ 1 = ንቁ ማውጫ)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

የተጠቃሚ ስሙን የሚወክልበትን ቅርጸት ይገልጻል (ይህ ዋጋ የሚወጣው ያለ ጎራ የተጠቃሚ ስሙን ብቻ ነው)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

ተመሳሳይ, ለቡድኑ ብቻ

./multiotp.php -config ldap-group-attribute="memberOf"

ተጠቃሚው የቡድን አባል መሆን አለመሆኑን የሚወስንበትን ዘዴ ይገልጻል

./multiotp.php -config ldap-ssl=1

ከኤልዲኤፒ አገልጋይ ጋር ደህንነቱ የተጠበቀ ግንኙነት ለመጠቀም (አዎ፣ በእርግጥ!)

./multiotp.php -config ldap-port=636

ከኤልዲኤፒ አገልጋይ ጋር ለመገናኘት ወደብ

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

የActive Directory አገልጋይህ አድራሻ

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

በጎራው ውስጥ ተጠቃሚዎችን የት መፈለግ እንደምትጀምር ይግለጹ

./multiotp.php -config ldap-bind-dn="[email protected]"

በActive Directory ውስጥ የመፈለጊያ መብቶች ያለው ተጠቃሚን ይግለጹ

./multiotp.php -config ldap-server-password="MySuperPassword"

ከገባሪ ማውጫ ጋር ለመገናኘት የተጠቃሚውን ይለፍ ቃል ይግለጹ

./multiotp.php -config ldap-network-timeout=10

ከገባሪ ዳይሬክተሩ ጋር ለመገናኘት የጊዜ ማብቂያ በማዘጋጀት ላይ

./multiotp.php -config ldap-time-limit=30

ለተጠቃሚው የማስመጣት ስራ የጊዜ ገደብ ያዘጋጁ

./multiotp.php -config ldap-activated=1

የActive Directory ግንኙነት ውቅረትን አንቃ

./multiotp.php -debug -display-log -ldap-users-sync

ተጠቃሚዎችን ከActive Directory እናስመጣለን።

ደረጃ 3 ለማስመሰያው የQR ኮድ ይፍጠሩ
እዚህ ሁሉም ነገር በጣም ቀላል ነው. በአሳሹ ውስጥ የ OTP አገልጋይን የድር በይነገጽ ይክፈቱ ፣ ይግቡ (ለአስተዳዳሪው ነባሪ የይለፍ ቃል መለወጥዎን አይርሱ!) እና “አትም” ቁልፍን ጠቅ ያድርጉ።

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
የዚህ ድርጊት ውጤት ሁለት የQR ኮዶችን የያዘ ገጽ ይሆናል። የመጀመሪያዎቹን በድፍረት ችላ እንላለን (ጎግል አረጋጋጭ / አረጋጋጭ / 2 ደረጃዎች አረጋጋጭ ጽሑፍ ቢኖረውም) እና ሁለተኛውን ኮድ ወደ ስልኩ የሶፍትዌር ማስመሰያ በድጋሚ በድፍረት እንቃኛለን።

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
(አዎ፣ እንዳይነበብ ለማድረግ ሆን ብዬ የQR ኮድ አበላሸሁት)።

በመተግበሪያዎ ውስጥ እነዚህን ድርጊቶች ከፈጸሙ በኋላ፣ በየሰላሳ ሴኮንዱ፣ ባለ ስድስት አሃዝ የይለፍ ቃል ይፈጠራል።

ለታማኝነት፣ በተመሳሳዩ በይነገጽ ውስጥ ማረጋገጥ ይችላሉ፡

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
በስልኩ ላይ ካለው መተግበሪያ የተጠቃሚ ስም እና የአንድ ጊዜ የይለፍ ቃል ማስገባት። አዎንታዊ ምላሽ አግኝተዋል? ስለዚህ እንቀጥላለን.

ደረጃ 4. FreeRADIUS አዋቅር እና ሞክር
ከላይ እንደገለጽኩት፣ መልቲኦቲፒ ከFreeRADIUS ጋር ለመስራት ተዋቅሯል፣ ሙከራዎችን ለማድረግ እና ስለእኛ የቪፒኤን መግቢያ መረጃ ወደ FreeRADIUS ውቅር ፋይል ለመጨመር ይቀራል።

ወደ የአገልጋይ ኮንሶል, ወደ ማውጫው እንመለሳለን /usr/local/bin/multiotp/, አስገባ:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

ስለዚህ የበለጠ ዝርዝር ምዝግብ ማስታወሻን ጨምሮ።

በFreeRADIUS ደንበኛ ውቅር ፋይል ውስጥ (/ወዘተ/freeradius/clinets.conf) የሚዛመዱትን ሁሉንም መስመሮች አስተያየት ይስጡ localhost እና ሁለት ግቤቶችን ያክሉ

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- ለፈተና

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- ለ VPN መግቢያችን።

FreeRADIUSን እንደገና ያስጀምሩ እና ለመግባት ይሞክሩ፡

radtest username 100110 localhost 1812 testing321

የት የተጠቃሚ ስም = የተጠቃሚ ስም 100110 = በስልኩ ላይ ባለው መተግበሪያ የተሰጠን የይለፍ ቃል ፣ localhost = RADIUS አገልጋይ አድራሻ 1812 - RADIUS አገልጋይ ወደብ; test321 - የ RADIUS አገልጋይ ደንበኛ ይለፍ ቃል (በማዋቀሩ ውስጥ የገለፅነው)።

የዚህ ትዕዛዝ ውፅዓት የሚከተለውን ይመስላል።

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

አሁን ተጠቃሚው በተሳካ ሁኔታ የተረጋገጠ መሆኑን ማረጋገጥ አለብን. ይህንን ለማድረግ የ multiotp ሎግ እራሱን እንመለከታለን፡-

tail /var/log/multiotp/multiotp.log

እና የመጨረሻው መግቢያ ካለ:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

ከዚያ ሁሉም ነገር በጥሩ ሁኔታ ሄደ, እና እኛ ማከናወን እንችላለን

ደረጃ 5 Cisco ASA ን ያዋቅሩ
አስቀድመን በSLL VPN በኩል ለመዳረሻ የተዋቀረ ቡድን እና ፖሊሲ እንዳለን እንስማማ፣ ከገባሪ ዳይሬክተሩ ጋር በጥምረት የተዋቀረ እና ለዚህ መገለጫ ባለሁለት ደረጃ ማረጋገጫ ማከል አለብን።

1. አዲስ የ AAA አገልጋይ ቡድን አክል፡

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
2. የኛን መልቲኦቲፒ አገልጋይ ወደ ቡድኑ አክል፡

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
3. ደንብ የግንኙነት መገለጫየActive Directory አገልጋዮችን ቡድን እንደ ዋና የማረጋገጫ አገልጋይ ማዋቀር፡-

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
4. በትሩ ውስጥ የላቀ -> ማረጋገጫ እንዲሁም የActive Directory አገልጋዮችን ቡድን ይምረጡ፡-

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
5. በትሩ ውስጥ የላቀ -> ሁለተኛ ደረጃ ማረጋገጫ መልቲኦቲፒ አገልጋይ የተመዘገበበትን የተፈጠረ አገልጋይ ቡድን ይምረጡ። የክፍለ ጊዜው ተጠቃሚ ስም ከዋናው AAA አገልጋይ ቡድን የተወረሰ መሆኑን ልብ ይበሉ፡-

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
ቅንብሮችን ተግብር እና

ደረጃ 6 የመጨረሻው ነው
ለኤስኤልኤል ቪፒኤን ባለ ሁለት ደረጃ ማረጋገጫ ለእኛ የሚሰራ መሆኑን ያረጋግጡ፡

ወደ 2FA ይሂዱ (ለ ASA SSL VPN ባለ ሁለት ደረጃ ማረጋገጫ)
ቮይላ! በሲስኮ AnyConnect VPN ደንበኛ በኩል ሲገናኙ፣ ለሁለተኛ ጊዜ የአንድ ጊዜ የይለፍ ቃልም ያስፈልጋል።

ይህ ጽሑፍ አንድን ሰው እንደሚረዳው ተስፋ አደርጋለሁ, እናም ለአንድ ሰው ለሃሳብ ምግብ እንደሚሰጥ, ይህንን እንዴት መጠቀም እንደሚችሉ, ነፃ የኦቲፒ አገልጋይ፣ ለሌሎች ተግባራት። ከፈለጉ በአስተያየቶቹ ውስጥ ያካፍሉ.

ምንጭ: hab.com

አስተያየት ያክሉ