Ами ако двуфакторната автентификация е едновременно желана и бодлива, но няма пари за хардуерни токени и като цяло те предлагат да останете в добро настроение.
Това решение не е нещо супер оригинално, а по-скоро комбинация от различни решения, намерени в интернет.
Така дадено
Име на домейна Active Directory.
Потребители на домейни, работещи чрез VPN, както много днес.
Действа като VPN шлюз Укрепване.
Запазването на паролата за VPN клиента е забранено от правилата за сигурност.
политика Fortinet по отношение на вашите собствени жетони, не можете да го наречете по-малко от zhlob - има до 10 безплатни жетона, останалите - на много некошерна цена. Не съм разглеждал RSASecureID, Duo и други подобни, защото искам отворен код.
Предпоставки: домакин * никс с установени freeradius, ssd - въведени в домейна, потребителите на домейна могат лесно да се удостоверяват в него.
Допълнителни пакети: кутия shellina, филе, freeradius-ldap, шрифт бунтовник.tlf от хранилището
В моя пример - CentOS 7.8.
Предполага се, че логиката на работа е следната: когато се свързва към VPN, потребителят трябва да въведе потребителско име за домейн и OTP вместо парола.
Настройка на услугите
В /etc/raddb/radiusd.conf само потребителят и групата, от чието име стартира freeradius, тъй като услугата radiusd трябва да може да чете файлове във всички поддиректории /У дома/.
user = root
group = root
За да можете да използвате групи в настройките Укрепване, трябва да се предаде Специфичен атрибут на доставчика. За да направите това, в директорията raddb/policy.d Създавам файл със следното съдържание:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
След монтажа freeradius-ldap в указателя raddb/mods-налични файлът е създаден LDAP.
Трябва да създадете символна връзка към директорията raddb/mods-активиран.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
Пренасям съдържанието му в този формуляр:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
Във файлове raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel в раздел разреши Добавям името на политиката, която ще се използва - group_authorization. Важен момент - името на политиката не се определя от името на файла в директорията политика.д, но чрез директива във файла преди фигурните скоби.
В раздела удостоверяване в същите файлове трябва да разкоментирате реда Пам.
Във файла clients.conf предписва параметрите, с които ще се свързва Укрепване:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
Конфигурация на модула pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
Опции за внедряване на пакет по подразбиране freeradius с google автентификатор изисква от потребителя да въведе идентификационни данни във формат: потребителско име/парола+OTP.
Като си представите броя на проклятията, които ще паднат върху главата, в случай на използване на пакета по подразбиране freeradius с Google Authenticator, беше решено да се използва конфигурацията на модула Пам така че само токенът да може да бъде проверен Google Authenticator.
Когато потребител се свърже, се случва следното:
- Freeradius проверява дали потребителят е в домейна и в определена група и, ако е успешен, проверява OTP токена.
Всичко изглеждаше достатъчно добре до момента, в който си помислих „Как мога да регистрирам OTP за 300+ потребители?“
Потребителят трябва да влезе в сървъра с freeradius и от вашия акаунт и стартирайте приложението Google автентификатор, който ще генерира QR код за приложението за потребителя. Тук идва помощта. кутия shellina в комбинация с .bash_profile.
[root@freeradius ~]# yum install -y shellinabox
Конфигурационният файл на демон се намира на /etc/sysconfig/shellinabox.
Аз посочвам порт 443 там и вие можете да посочите вашия сертификат.
[root@freeradius ~]#systemctl enable --now shellinaboxd
Потребителят трябва само да последва връзката, да въведе кредити за домейн и да получи QR код за приложението.
Алгоритъмът е следният:
- Потребителят влиза в машината чрез браузър.
- Дали потребителят на домейна е отметнат. Ако не, тогава не се предприемат действия.
- Ако потребителят е потребител на домейн, членството в групата на администраторите се проверява.
- Ако не е администратор, той проверява дали Google Authenticator е конфигуриран. Ако не, тогава се генерира QR код и излизане на потребителя.
- Ако не сте администратор и Google Authenticator е конфигуриран, просто излезте.
- Ако е администратор, проверете отново Google Authenticator. Ако не е конфигуриран, се генерира QR код.
Цялата логика се извършва с помощта на /etc/skel/.bash_profile.
котка /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
Настройка на Fortigate:
- Ние създаваме радиус-сървър
- Създаваме необходимите групи, при необходимост контрол на достъпа по групи. Името на групата е включено Укрепване трябва да съответства на групата, която е предадена Специфичен атрибут на доставчика Име на Fortinet група.
- Редактиране на необходимото SSL-портали.
- Добавяне на групи към политики.
Предимствата на това решение:
- Възможно е удостоверяване чрез OTP на Укрепване решение с отворен код.
- Потребителят не въвежда парола за домейн, когато се свързва чрез VPN, което донякъде опростява процеса на свързване. 6-цифрената парола е по-лесна за въвеждане от тази, предоставена от политиката за сигурност. В резултат на това броят на билетите с тема: „Не мога да се свържа с VPN“ намалява.
PS Планираме да надградим това решение до пълноценно двуфакторно удостоверяване с отговор на предизвикателство.
Update:
Както обещах, го промених до опцията предизвикателство-отговор.
И така:
Във файла /etc/raddb/sites-enabled/default раздел разреши изглежда така:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
раздел удостоверяване сега изглежда така:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
Сега проверката на потребителя се извършва съгласно следния алгоритъм:
- Потребителят въвежда кредити за домейн в VPN клиента.
- Freeradius проверява валидността на акаунта и паролата
- Ако паролата е правилна, тогава се изпраща заявка за токен.
- Токенът се проверява.
- печалба).
Източник: www.habr.com