🥇LinOTP দ্বি-ফ্যাক্টর প্রমাণীকরণ সার্ভার

আজ আমি শেয়ার করতে চাই কিভাবে আপনার কর্পোরেট নেটওয়ার্ক, ওয়েবসাইট, পরিষেবা, ssh রক্ষা করার জন্য একটি দ্বি-ফ্যাক্টর প্রমাণীকরণ সার্ভার সেট আপ করবেন। সার্ভারটি নিম্নলিখিত সমন্বয় চালাবে: LinOTP + FreeRadius।

কেন তিনি আমাদের প্রয়োজন?
এটি একটি সম্পূর্ণ বিনামূল্যে, সুবিধাজনক সমাধান, তার নিজস্ব নেটওয়ার্কের মধ্যে, তৃতীয় পক্ষের প্রদানকারীদের থেকে স্বাধীন।

এই পরিষেবাটি খুবই সুবিধাজনক, বেশ চাক্ষুষ, অন্যান্য ওপেন সোর্স পণ্যগুলির থেকে ভিন্ন, এবং এটি বিপুল সংখ্যক ফাংশন এবং নীতিগুলিকেও সমর্থন করে (উদাহরণস্বরূপ, লগইন+পাসওয়ার্ড+(PIN+OTPToken))। API-এর মাধ্যমে, এটি এসএমএস পাঠানোর পরিষেবাগুলির সাথে একীভূত হয় (LinOTP Config->Provider Config->SMS প্রদানকারী), মোবাইল অ্যাপ্লিকেশনগুলির জন্য কোড তৈরি করে যেমন Google Authentificator এবং আরও অনেক কিছু। আমি মনে করি এটি আলোচনা করা পরিষেবার চেয়ে বেশি সুবিধাজনক প্রবন্ধ.

এই সার্ভারটি Cisco ASA, OpenVPN সার্ভার, Apache2 এবং সাধারণভাবে একটি RADIUS সার্ভারের মাধ্যমে প্রমাণীকরণ সমর্থন করে এমন প্রায় সবকিছুর সাথে পুরোপুরি কাজ করে (উদাহরণস্বরূপ, ডেটা সেন্টারে SSH-এর জন্য)।

প্রয়োজন:

1) ডেবিয়ান 8 (জেসি)- অগত্যা ! (ডেবিয়ান 9-এ ট্রায়াল ইনস্টলেশন নিবন্ধের শেষে বর্ণনা করা হয়েছে)

শুরু করুন:

ডেবিয়ান 8 ইনস্টল করা হচ্ছে।

LinOTP সংগ্রহস্থল যোগ করুন:

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

কী যোগ করা হচ্ছে:

# gpg --search-keys 913DFF12F86258E5

কখনও কখনও একটি "পরিষ্কার" ইনস্টলেশনের সময়, এই কমান্ডটি চালানোর পরে, ডেবিয়ান প্রদর্শন করে:

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

এটি প্রাথমিক gnupg সেটআপ। ঠিক আছে. শুধু আবার কমান্ড চালান.
ডেবিয়ানের প্রশ্নে:

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

আমরা উত্তর: 1

পরবর্তী:

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

মাইএসকিউএল ইনস্টল করুন। তাত্ত্বিকভাবে, আপনি অন্য sql সার্ভার ব্যবহার করতে পারেন, কিন্তু সরলতার জন্য আমি এটি LinOTP-এর জন্য প্রস্তাবিত হিসাবে ব্যবহার করব।

(অতিরিক্ত তথ্য, যার মধ্যে LinOTP ডাটাবেস পুনরায় কনফিগার করা, অফিসিয়াল ডকুমেন্টেশনে পাওয়া যাবে লিংক. সেখানে আপনি কমান্ডটিও খুঁজে পেতে পারেন: dpkg-reconfigure linotp পরামিতি পরিবর্তন করতে যদি আপনি ইতিমধ্যেই mysql ইনস্টল করে থাকেন)।

# apt-get install mysql-server

# apt-get update

(এটা আবার আপডেট চেক করতে আঘাত করবে না)
LinOTP এবং অতিরিক্ত মডিউল ইনস্টল করুন:

# apt-get install linotp

আমরা ইনস্টলারের প্রশ্নের উত্তর দিই:
Apache2 ব্যবহার করুন: হ্যাঁ
অ্যাডমিন লিনোটপের জন্য একটি পাসওয়ার্ড তৈরি করুন: "আপনার পাসওয়ার্ড"
স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করুন?: হ্যাঁ
মাইএসকিউএল ব্যবহার করুন?: হ্যাঁ
ডাটাবেস কোথায় অবস্থিত: localhost
সার্ভারে একটি LinOTP ডাটাবেস (বেস নাম) তৈরি করুন: LinOTP2
ডাটাবেসের জন্য একটি পৃথক ব্যবহারকারী তৈরি করুন: LinOTP2
আমরা ব্যবহারকারীর জন্য একটি পাসওয়ার্ড সেট করি: "আপনার পাসওয়ার্ড"
আমি এখন একটি ডাটাবেস তৈরি করা উচিত? ("আপনি কি নিশ্চিত আপনি চান..." এর মত কিছু): হ্যাঁ
এটি ইনস্টল করার সময় আপনি যে MySQL রুট পাসওয়ার্ডটি তৈরি করেছিলেন তা লিখুন: "আপনার পাসওয়ার্ড"
সম্পন্ন।

(ঐচ্ছিক, আপনাকে এটি ইনস্টল করতে হবে না)

# apt-get install linotp-adminclient-cli

(ঐচ্ছিক, আপনাকে এটি ইনস্টল করতে হবে না)

# apt-get install libpam-linotp

এবং তাই আমাদের Linotp ওয়েব ইন্টারফেস এখন এখানে উপলব্ধ:

"<b>https</b>: //IP_сервера/manage"

আমি একটু পরে ওয়েব ইন্টারফেসের সেটিংস সম্পর্কে কথা বলব।

এখন, সবচেয়ে গুরুত্বপূর্ণ জিনিস! আমরা FreeRadius বাড়াই এবং Linotp এর সাথে লিঙ্ক করি।

LinOTP এর সাথে কাজ করার জন্য FreeRadius এবং মডিউল ইনস্টল করুন

# apt-get install freeradius linotp-freeradius-perl

ক্লায়েন্ট এবং ব্যবহারকারীদের ব্যাসার্ধ কনফিগার ব্যাকআপ করুন।

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

একটি খালি ক্লায়েন্ট ফাইল তৈরি করুন:

# touch /etc/freeradius/clients.conf

আমাদের নতুন কনফিগারেশন ফাইল সম্পাদনা করা হচ্ছে (ব্যাক আপ করা কনফিগার উদাহরণ হিসাবে ব্যবহার করা যেতে পারে)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

পরবর্তী, একটি ব্যবহারকারী ফাইল তৈরি করুন:

# touch /etc/freeradius/users

আমরা ফাইলটি সম্পাদনা করি, ব্যাসার্ধকে বলে যে আমরা প্রমাণীকরণের জন্য পার্ল ব্যবহার করব।

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

এরপর, ফাইলটি সম্পাদনা করুন /etc/freeradius/modules/perl

# nano /etc/freeradius/modules/perl

আমাদের মডিউল প্যারামিটারে পার্ল লিনোটপ স্ক্রিপ্টের পথটি নির্দিষ্ট করতে হবে:

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

... ..
এর পরে, আমরা একটি ফাইল তৈরি করি যেখানে আমরা বলি কোনটি (ডোমেন, ডাটাবেস বা ফাইল) থেকে ডেটা নেওয়া হবে।

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

আমি এখানে আরও একটু বিস্তারিত জানাব কারণ এটি গুরুত্বপূর্ণ:

মন্তব্য সহ ফাইলের সম্পূর্ণ বিবরণ:
linOTP সার্ভারের #IP (আমাদের LinOTP সার্ভারের IP ঠিকানা)
URL=https://172.17.14.103/validate/simplecheck
#আমাদের এলাকা যা আমরা LinOTP ওয়েব ইন্টারফেসে তৈরি করব।)
REALM=পুনরায় 1
# ব্যবহারকারী গোষ্ঠীর নাম যেটি LinOTP ওয়েব মজলে তৈরি করা হয়েছে।
RESCONF=flat_file
#ঐচ্ছিক: সবকিছু ঠিকঠাক কাজ করছে বলে মনে হলে মন্তব্য করুন
ডিবাগ=সত্য
#ঐচ্ছিক: এটি ব্যবহার করুন, যদি আপনার স্ব-স্বাক্ষরিত শংসাপত্র থাকে, অন্যথায় মন্তব্য করুন (SSL যদি আমরা আমাদের নিজস্ব শংসাপত্র তৈরি করি এবং এটি যাচাই করতে চাই)
SSL_CHECK=মিথ্যা

এরপরে, /etc/freeradius/sites-available/linotp ফাইলটি তৈরি করুন

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

এবং এটিতে কনফিগারটি অনুলিপি করুন (কিছু সম্পাদনা করার প্রয়োজন নেই):

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

পরবর্তী আমরা একটি সিম লিঙ্ক তৈরি করব:

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

ব্যক্তিগতভাবে, আমি ডিফল্ট ব্যাসার্ধ সাইটগুলি মেরে ফেলি, কিন্তু যদি আপনার প্রয়োজন হয় তবে আপনি তাদের কনফিগারেশন সম্পাদনা করতে পারেন বা সেগুলি অক্ষম করতে পারেন।

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

এখন ওয়েব ফেসে ফিরে আসা যাক এবং একটু বিস্তারিতভাবে দেখুন:
উপরের ডানদিকের কোণায় LinOTP Config -> UserIdResolvers -> New এ ক্লিক করুন
আমরা যা চাই তা বেছে নিই: LDAP (AD win, LDAP samba), অথবা SQL, অথবা Flatfile সিস্টেমের স্থানীয় ব্যবহারকারীরা।

প্রয়োজনীয় ক্ষেত্রগুলি পূরণ করুন।

এরপর আমরা REALMS তৈরি করি:
উপরের ডানদিকের কোণায়, LinOTP Config -> Realms -> New এ ক্লিক করুন।
এবং আমাদের REALMS-এ একটি নাম দিন এবং পূর্বে তৈরি UserIdResolvers-এ ক্লিক করুন।

FreeRadius-এর /etc/linotp2/rlm_perl.ini ফাইলে এই সমস্ত ডেটা প্রয়োজন, যেমনটি আমি উপরে লিখেছি, তাই আপনি যদি এটি সম্পাদনা না করে থাকেন তবে এখনই করুন।

সার্ভার সব কনফিগার করা হয়.

সম্পূরক:

ডেবিয়ান 9 এ LinOTP সেট আপ করা হচ্ছে:

সেটিং:

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(ডিফল্টরূপে, ডেবিয়ান 9 mysql-এ (mariaDB) একটি রুট পাসওয়ার্ড সেট করার প্রস্তাব দেয় না, অবশ্যই আপনি এটি খালি রাখতে পারেন, তবে আপনি যদি খবরটি পড়েন তবে এটি প্রায়শই "মহাকাব্য ব্যর্থতার" দিকে পরিচালিত করে, তাই আমরা এটি সেট করব যাই হোক)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

কোড পেস্ট করুন (জুরিম দ্বারা প্রেরিত, তার জন্য তাকে ধন্যবাদ!):

সার্ভার linotp {
শোনো {
ipaddr = *
পোর্ট = 1812
type=auth
}
শোনো {
ipaddr = *
পোর্ট = 1813
type = acct
}
অনুমোদন করা {
পূর্ব প্রক্রিয়া
হালনাগাদ {
&নিয়ন্ত্রণ:প্রমাণ-প্রকার := পার্ল
}
}
প্রমাণীকরণ {
অথ-টাইপ পার্ল {
Perl
}
}
হিসাব {
UNIX
}
}

সম্পাদনা করুন /etc/freeradius/3.0/mods-enabled/perl

পার্ল {
ফাইলের নাম = /usr/share/linotp/radius_linotp.pm
func_authenticate = প্রমাণীকরণ
func_authorize = অনুমোদন
}

দুর্ভাগ্যবশত, ডেবিয়ান 9-এ radius_linotp.pm লাইব্রেরি সংগ্রহস্থল থেকে ইনস্টল করা নেই, তাই আমরা এটি গিথুব থেকে নেব।

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

এখন আসুন /etc/freeradius/3.0/clients.conf সম্পাদনা করি

ক্লায়েন্ট সার্ভার {
ipaddr = 192.168.188.0/24
গোপন = আপনার পাসওয়ার্ড
}

এখন ন্যানো /etc/linotp2/rlm_perl.ini সংশোধন করা যাক

আমরা ডেবিয়ান 8 এ ইনস্টল করার সময় একই কোড পেস্ট করি (উপরে বর্ণিত)

যে সব ধারণা অনুযায়ী. (এখনও পরীক্ষা করা হয়নি)

আমি সিস্টেম সেট আপ করার জন্য কয়েকটি লিঙ্ক নীচে রেখে দেব যা প্রায়শই দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথে সুরক্ষিত করা প্রয়োজন:
দ্বি-ফ্যাক্টর প্রমাণীকরণ সেট আপ করা হচ্ছে Apache2

Cisco ASA এর সাথে সেটআপ করুন(একটি ভিন্ন টোকেন প্রজন্মের সার্ভার সেখানে ব্যবহার করা হয়, কিন্তু ASA এর সেটিংস নিজেই একই)।

দুই-ফ্যাক্টর প্রমাণীকরণ সহ VPN

সমন্বয় ssh-এ দুই ফ্যাক্টর প্রমাণীকরণ (লিনোটিপি সেখানেও ব্যবহার করা হয়েছে) - লেখককে ধন্যবাদ। সেখানে আপনি LiOTP নীতিগুলি সেট আপ করার বিষয়ে আকর্ষণীয় জিনিসগুলিও খুঁজে পেতে পারেন৷

এছাড়াও, অনেক সাইটের সেমি টু-ফ্যাক্টর প্রমাণীকরণ সমর্থন করে (ওয়ার্ডপ্রেসের জন্য, LinOTP-এর জন্যও এর নিজস্ব বিশেষ মডিউল রয়েছে GitHub), উদাহরণস্বরূপ, আপনি যদি কোম্পানির কর্মীদের জন্য আপনার কর্পোরেট ওয়েবসাইটে একটি সুরক্ষিত বিভাগ তৈরি করতে চান।
গুরুত্বপূর্ণ ঘটনা! Google প্রমাণীকরণকারী ব্যবহার করতে "গুগল প্রমাণীকরণকারী" বক্সটি চেক করবেন না! তখন QR কোড পড়া যায় না... (অদ্ভুত ঘটনা)

এই নিবন্ধটি লিখতে, নিম্নলিখিত নিবন্ধগুলি থেকে তথ্য ব্যবহার করা হয়েছিল:
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

লেখকদের ধন্যবাদ.

উত্স: www.habr.com

LinOTP দ্বি-ফ্যাক্টর প্রমাণীকরণ সার্ভার

একটি মন্তব্য জুড়ুন উত্তর বাতিল