2FA এ যান (ASA SSL VPN এর জন্য দুই ফ্যাক্টর প্রমাণীকরণ)

কর্পোরেট পরিবেশে দূরবর্তী অ্যাক্সেস প্রদানের প্রয়োজনীয়তা প্রায়শই দেখা দেয়, তা আপনার ব্যবহারকারী বা অংশীদারদেরই হোক না কেন আপনার প্রতিষ্ঠানের একটি নির্দিষ্ট সার্ভারে অ্যাক্সেসের প্রয়োজন।

এই উদ্দেশ্যে, বেশিরভাগ কোম্পানি VPN প্রযুক্তি ব্যবহার করে, যা প্রতিষ্ঠানের স্থানীয় সংস্থানগুলিতে অ্যাক্সেস প্রদানের একটি নিরাপদ উপায় হিসাবে নিজেকে প্রমাণ করেছে।

আমার কোম্পানি ব্যতিক্রম নয়, এবং আমরা, অন্য অনেকের মত, এই প্রযুক্তি ব্যবহার করি। এবং, অন্য অনেকের মতো, আমরা একটি দূরবর্তী অ্যাক্সেস গেটওয়ে হিসাবে Cisco ASA 55xx ব্যবহার করি।

দূরবর্তী ব্যবহারকারীদের সংখ্যা বৃদ্ধির সাথে, শংসাপত্র প্রদানের পদ্ধতিটি সহজতর করার প্রয়োজন রয়েছে। কিন্তু একই সময়ে, নিরাপত্তার সঙ্গে আপস না করেই এটি করতে হবে।

নিজেদের জন্য, আমরা এককালীন পাসওয়ার্ড ব্যবহার করে Cisco SSL VPN এর মাধ্যমে সংযোগ করতে দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করে একটি সমাধান খুঁজে পেয়েছি। এবং এই প্রকাশনাটি আপনাকে বলবে যে কীভাবে ন্যূনতম সময় এবং প্রয়োজনীয় সফ্টওয়্যারের জন্য শূন্য খরচ সহ এমন একটি সমাধান সংগঠিত করা যায় (প্রদত্ত যে আপনার পরিকাঠামোতে ইতিমধ্যেই সিস্কো এএসএ রয়েছে)।

বাজার এক-কালীন পাসওয়ার্ড তৈরির জন্য বক্সযুক্ত সমাধানে পরিপূর্ণ, যখন সেগুলি পাওয়ার জন্য অনেকগুলি বিকল্প অফার করে, সেগুলি এসএমএসের মাধ্যমে পাসওয়ার্ড পাঠানো হোক বা টোকেন ব্যবহার করা হোক, হার্ডওয়্যার এবং সফ্টওয়্যার উভয়ই (উদাহরণস্বরূপ, একটি মোবাইল ফোনে)৷ কিন্তু সঞ্চয়ের আকাঙ্খা এবং আমার নিয়োগকর্তার জন্য অর্থ সঞ্চয় করার আকাঙ্ক্ষা, বর্তমান সংকটে, আমাকে এককালীন পাসওয়ার্ড তৈরির জন্য একটি পরিষেবা বাস্তবায়নের একটি বিনামূল্যের উপায় খুঁজে বের করতে বাধ্য করেছে৷ যা, বিনামূল্যে হওয়া সত্ত্বেও, বাণিজ্যিক সমাধানগুলির তুলনায় খুব নিকৃষ্ট নয় (এটি এখানে উল্লেখ করা উচিত যে এই পণ্যটির একটি বাণিজ্যিক সংস্করণও রয়েছে, তবে আমরা সম্মত হয়েছি যে অর্থের পরিপ্রেক্ষিতে খরচ শূন্য হবে)।

সুতরাং, আমাদের প্রয়োজন:

- ওয়েবের মাধ্যমে সার্ভার অ্যাক্সেস করার জন্য একটি বিল্ট-ইন টুলস সহ একটি লিনাক্স ইমেজ - multiOTP, FreeRADIUS এবং nginx (http://download.multiotp.net/ - আমি VMware এর জন্য একটি রেডিমেড ইমেজ ব্যবহার করেছি)
- সক্রিয় ডিরেক্টরি সার্ভার
- আসলে Cisco ASA (আমি, সুবিধার জন্য, ASDM ব্যবহার করি)
- যেকোন সফ্টওয়্যার টোকেন যা TOTP প্রক্রিয়া সমর্থন করে (আমি, উদাহরণস্বরূপ, Google প্রমাণীকরণকারী ব্যবহার করি, কিন্তু একই FreeOTP করবে)

আমি ছবিটির উন্মোচনের বিস্তারিত বিবরণে যাব না। ফলস্বরূপ, আপনি ডেবিয়ান লিনাক্স পাবেন মাল্টিওটিপি এবং ফ্রিরাডিয়াস ইতিমধ্যেই ইনস্টল করা, একত্রে কাজ করার জন্য কনফিগার করা এবং ওটিপি প্রশাসনের জন্য একটি ওয়েব ইন্টারফেস।

ধাপ 1. আমরা সিস্টেমটি শুরু করি এবং এটিকে আমাদের নেটওয়ার্কের জন্য কনফিগার করি
ডিফল্টরূপে, সিস্টেম রুট রুট শংসাপত্রের সাথে আসে। আমি মনে করি সবাই অনুমান করেছে যে প্রথম লগইন করার পরে রুট ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করা ভাল হবে। আপনাকে নেটওয়ার্ক সেটিংসও পরিবর্তন করতে হবে (গেটওয়ে '192.168.1.44' সহ ডিফল্ট হল '192.168.1.1')। এর পরে, আপনি সিস্টেমটি পুনরায় বুট করতে পারেন।

সক্রিয় ডিরেক্টরিতে একজন ব্যবহারকারী তৈরি করুন OTPপাসওয়ার্ড সহ মাইসুপারপাসওয়ার্ড.

ধাপ 2. সংযোগ সেট আপ করুন এবং সক্রিয় ডিরেক্টরি ব্যবহারকারীদের আমদানি করুন
এটি করার জন্য, আমাদের কনসোলে এবং সরাসরি ফাইলটিতে অ্যাক্সেস প্রয়োজন multiotp.php, যা ব্যবহার করে আমরা সক্রিয় ডিরেক্টরিতে সংযোগ করার জন্য সেটিংস কনফিগার করব।

ডিরেক্টরিতে যান /usr/local/bin/multiotp/ এবং নিম্নলিখিত কমান্ডগুলি একে একে চালান:

./multiotp.php -config default-request-prefix-pin=0

একটি এককালীন পিন (0 বা 1) প্রবেশ করার সময় একটি অতিরিক্ত (স্থায়ী) পিন প্রয়োজন কিনা তা নির্ধারণ করে

./multiotp.php -config default-request-ldap-pwd=0

এক-কালীন পিন (0 বা 1) প্রবেশ করার সময় একটি ডোমেন পাসওয়ার্ড প্রয়োজন কিনা তা নির্ধারণ করে

./multiotp.php -config ldap-server-type=1

LDAP সার্ভারের ধরন নির্দিষ্ট করা আছে (0 = স্বাভাবিক LDAP সার্ভার, আমাদের ক্ষেত্রে 1 = সক্রিয় ডিরেক্টরি)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

যে বিন্যাসে ব্যবহারকারীর নামটি উপস্থাপন করতে হবে তা নির্দিষ্ট করে (এই মানটি ডোমেন ছাড়াই শুধুমাত্র ব্যবহারকারীর নাম আউটপুট করবে)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

একই, শুধুমাত্র দলের জন্য

./multiotp.php -config ldap-group-attribute="memberOf"

ব্যবহারকারী একটি গোষ্ঠীর অন্তর্গত কিনা তা নির্ধারণের পদ্ধতি নির্দিষ্ট করে

./multiotp.php -config ldap-ssl=1

LDAP সার্ভারে একটি নিরাপদ সংযোগ ব্যবহার করবেন কিনা (হ্যাঁ, অবশ্যই!)

./multiotp.php -config ldap-port=636

LDAP সার্ভারের সাথে সংযোগের জন্য পোর্ট

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

আপনার অ্যাক্টিভ ডিরেক্টরি সার্ভারের ঠিকানা

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

ডোমেনে ব্যবহারকারীদের জন্য কোথায় অনুসন্ধান শুরু করবেন তা নির্দিষ্ট করুন৷

./multiotp.php -config ldap-bind-dn="[email protected]"

সক্রিয় ডিরেক্টরিতে অনুসন্ধানের অধিকার রয়েছে এমন একজন ব্যবহারকারীকে নির্দিষ্ট করুন৷

./multiotp.php -config ldap-server-password="MySuperPassword"

সক্রিয় ডিরেক্টরিতে সংযোগ করতে ব্যবহারকারীর পাসওয়ার্ড উল্লেখ করুন

./multiotp.php -config ldap-network-timeout=10

সক্রিয় ডিরেক্টরিতে সংযোগ করার জন্য একটি সময়সীমা সেট করা হচ্ছে

./multiotp.php -config ldap-time-limit=30

ব্যবহারকারী আমদানি ক্রিয়াকলাপের জন্য একটি সময়সীমা সেট করুন৷

./multiotp.php -config ldap-activated=1

সক্রিয় ডিরেক্টরি সংযোগ কনফিগারেশন সক্রিয় করুন

./multiotp.php -debug -display-log -ldap-users-sync

আমরা সক্রিয় ডিরেক্টরি থেকে ব্যবহারকারীদের আমদানি করি

ধাপ 3. টোকেনের জন্য একটি QR কোড তৈরি করুন
এখানে সবকিছু অত্যন্ত সহজ. ব্রাউজারে OTP সার্ভারের ওয়েব ইন্টারফেস খুলুন, লগ ইন করুন (প্রশাসকের জন্য ডিফল্ট পাসওয়ার্ড পরিবর্তন করতে ভুলবেন না!), এবং "প্রিন্ট" বোতামে ক্লিক করুন:

এই কর্মের ফলাফল হবে একটি পৃষ্ঠা যাতে দুটি QR কোড থাকে। আমরা সাহসের সাথে তাদের প্রথমটিকে উপেক্ষা করি (আকর্ষণীয় শিলালিপি Google প্রমাণীকরণকারী / প্রমাণীকরণকারী / 2 পদক্ষেপ প্রমাণীকরণ সত্ত্বেও), এবং আবার সাহসের সাথে দ্বিতীয় কোডটিকে ফোনে একটি সফ্টওয়্যার টোকেনে স্ক্যান করি:

(হ্যাঁ, আমি ইচ্ছাকৃতভাবে QR কোডটি অপঠনযোগ্য করার জন্য তালগোল পাকিয়েছি)।

আপনার অ্যাপ্লিকেশনে এই ক্রিয়াগুলি সম্পাদন করার পরে, প্রতি ত্রিশ সেকেন্ডে, একটি ছয়-সংখ্যার পাসওয়ার্ড তৈরি করা হবে।

বিশ্বস্ততার জন্য, আপনি একই ইন্টারফেসে চেক করতে পারেন:

ফোনে অ্যাপ্লিকেশন থেকে ব্যবহারকারীর নাম এবং এক-কালীন পাসওয়ার্ড প্রবেশ করান। একটি ইতিবাচক প্রতিক্রিয়া পেয়েছেন? তাই আমরা এগিয়ে যাই।

ধাপ 4. FreeRADIUS কনফিগার করুন এবং পরীক্ষা করুন
আমি উপরে উল্লিখিত হিসাবে, মাল্টিওটিপি ইতিমধ্যেই FreeRADIUS এর সাথে কাজ করার জন্য কনফিগার করা হয়েছে, এটি পরীক্ষা চালানোর জন্য এবং FreeRADIUS কনফিগারেশন ফাইলে আমাদের VPN গেটওয়ে সম্পর্কে তথ্য যোগ করার জন্য রয়ে গেছে।

আমরা সার্ভার কনসোলে, ডিরেক্টরিতে ফিরে আসি /usr/local/bin/multiotp/, লিখুন:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

এইভাবে আরো বিস্তারিত লগিং সহ.

FreeRADIUS ক্লায়েন্ট কনফিগারেশন ফাইলে (/etc/freeradius/clinets.conf) সম্পর্কিত সমস্ত লাইন মন্তব্য স্থানীয় হোস্ট এবং দুটি এন্ট্রি যোগ করুন:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- পরীক্ষার জন্য

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- আমাদের ভিপিএন গেটওয়ের জন্য।

FreeRADIUS পুনরায় চালু করুন এবং লগ ইন করার চেষ্টা করুন:

radtest username 100110 localhost 1812 testing321

যেখানে ব্যবহারকারীর নাম = ব্যবহারকারীর নাম, 100110 = ফোনে অ্যাপ্লিকেশন দ্বারা আমাদের দেওয়া পাসওয়ার্ড, স্থানীয় হোস্ট = RADIUS সার্ভার ঠিকানা, 1812 - RADIUS সার্ভার পোর্ট, testing321 — RADIUS সার্ভার ক্লায়েন্টের পাসওয়ার্ড (যা আমরা কনফিগারে উল্লেখ করেছি)।

এই কমান্ডের আউটপুট নিম্নলিখিত মত কিছু হবে:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

এখন আমাদের নিশ্চিত করতে হবে যে ব্যবহারকারী সফলভাবে প্রমাণীকৃত হয়েছে। এটি করার জন্য, আমরা multiotp এর লগটি নিজেই দেখব:

tail /var/log/multiotp/multiotp.log

এবং যদি শেষ এন্ট্রি থাকে:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

তারপর সবকিছু ঠিকঠাক হয়ে গেল, এবং আমরা পারফর্ম করতে পারব

ধাপ 5 Cisco ASA কনফিগার করুন
আসুন সম্মত হই যে আমাদের ইতিমধ্যেই SLL VPN এর মাধ্যমে অ্যাক্সেসের জন্য একটি কনফিগার করা গ্রুপ এবং নীতি রয়েছে, অ্যাক্টিভ ডিরেক্টরির সাথে কনফিগার করা হয়েছে এবং আমাদের এই প্রোফাইলের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ যোগ করতে হবে।

1. একটি নতুন AAA সার্ভার গ্রুপ যোগ করুন:

2. গ্রুপে আমাদের multiOTP সার্ভার যোগ করুন:

3. নিয়ম সংযোগ প্রোফাইল, প্রাথমিক প্রমাণীকরণ সার্ভার হিসাবে সক্রিয় ডিরেক্টরি সার্ভারের গ্রুপ সেট করা হচ্ছে:

4. ট্যাবে উন্নত -> প্রমাণীকরণ এছাড়াও সক্রিয় ডিরেক্টরি সার্ভারের একটি গ্রুপ নির্বাচন করুন:

5. ট্যাবে উন্নত -> মাধ্যমিক প্রমাণীকরণ তৈরি করা সার্ভার গ্রুপ নির্বাচন করুন যেখানে multiOTP সার্ভার নিবন্ধিত আছে। উল্লেখ্য যে সেশন ব্যবহারকারীর নাম প্রাথমিক AAA সার্ভার গ্রুপ থেকে উত্তরাধিকারসূত্রে প্রাপ্ত হয়েছে:

সেটিংস প্রয়োগ করুন এবং

ধাপ 6 শেষ এক
SLL VPN-এর জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ আমাদের জন্য কাজ করে কিনা তা আমরা পরীক্ষা করি:

ভয়লা ! Cisco AnyConnect VPN ক্লায়েন্টের মাধ্যমে সংযোগ করার সময়, একটি দ্বিতীয় ওয়ান-টাইম পাসওয়ার্ডও অনুরোধ করা হবে।

আমি আশা করি যে এই নিবন্ধটি কাউকে সাহায্য করবে, এবং এটি কাউকে চিন্তার জন্য খাবার দেবে, আপনি কীভাবে এটি ব্যবহার করতে পারেন, বিনামূল্যে OTP সার্ভার, অন্যান্য কাজের জন্য। আপনি যদি চান মন্তব্য শেয়ার করুন.

উত্স: www.habr.com