Mae'r angen i ddarparu mynediad o bell i amgylchedd corfforaethol yn codi'n amlach, boed yn ddefnyddwyr neu'n bartneriaid sydd angen mynediad at weinydd penodol yn eich sefydliad.
At y dibenion hyn, mae'r rhan fwyaf o gwmnïau'n defnyddio technoleg VPN, sydd wedi profi ei hun fel ffordd ddiogel o ddarparu mynediad i adnoddau lleol y sefydliad.
Nid yw fy nghwmni yn eithriad, ac rydym ni, fel llawer o rai eraill, yn defnyddio'r dechnoleg hon. Ac, fel llawer o rai eraill, rydym yn defnyddio Cisco ASA 55xx fel porth mynediad o bell.
Gyda chynnydd yn nifer y defnyddwyr o bell, mae angen hwyluso'r drefn ar gyfer cyhoeddi tystlythyrau. Ond ar yr un pryd, rhaid gwneud hyn heb beryglu diogelwch.
I ni ein hunain, daethom o hyd i ateb trwy ddefnyddio dilysiad dau ffactor i gysylltu trwy Cisco SSL VPN, gan ddefnyddio cyfrineiriau un-amser. A bydd y cyhoeddiad hwn yn dweud wrthych sut i drefnu datrysiad o'r fath heb fawr o amser a dim costau ar gyfer y feddalwedd angenrheidiol (ar yr amod bod gennych Cisco ASA eisoes yn eich seilwaith).
Mae'r farchnad yn orlawn o atebion mewn bocsys ar gyfer cynhyrchu cyfrineiriau un-amser, tra'n cynnig llawer o opsiynau ar gyfer eu cael, p'un a yw'n anfon cyfrinair trwy SMS neu'n defnyddio tocynnau, caledwedd a meddalwedd (er enghraifft, ar ffôn symudol). Ond fe wnaeth yr awydd am arbedion a'r awydd i arbed arian i'm cyflogwr, yn yr argyfwng presennol, i mi ddod o hyd i ffordd rad ac am ddim i weithredu gwasanaeth ar gyfer cynhyrchu cyfrineiriau un-amser. Sydd, er ei fod yn rhad ac am ddim, yn llawer israddol i atebion masnachol (dylid nodi yma bod gan y cynnyrch hwn fersiwn fasnachol hefyd, ond cytunwyd y bydd y costau, o ran arian, yn sero).
Felly, mae angen i ni:
- Delwedd Linux gyda set o offer adeiledig - multiOTP, FreeRADIUS a nginx, ar gyfer cyrchu'r gweinydd trwy'r we (http://download.multiotp.net/ - defnyddiais ddelwedd barod ar gyfer VMware)
— Gweinydd Cyfeiriadur Gweithredol
- Cisco ASA mewn gwirionedd (Rwyf, er hwylustod, yn defnyddio ASDM)
- Unrhyw docyn meddalwedd sy'n cefnogi'r mecanwaith TOTP (Rwyf, er enghraifft, yn defnyddio Google Authenticator, ond bydd yr un FreeOTP yn ei wneud)
Nid af i fanylion datblygiad y ddelwedd. O ganlyniad, fe gewch Debian Linux gyda multiOTP a FreeRADIUS eisoes wedi'u gosod, wedi'u ffurfweddu i weithio ar y cyd a rhyngwyneb gwe ar gyfer gweinyddu OTP.
Cam 1. Rydym yn cychwyn y system ac yn ei ffurfweddu ar gyfer ein rhwydwaith
Yn ddiofyn, mae'r system yn dod â manylion gwraidd gwraidd. Rwy'n meddwl bod pawb wedi dyfalu y byddai'n braf newid cyfrinair y defnyddiwr gwraidd ar ôl y mewngofnodi cyntaf. Mae angen i chi hefyd newid y gosodiadau rhwydwaith (y rhagosodiad yw '192.168.1.44' gyda'r porth '192.168.1.1'). Ar ôl hynny, gallwch ailgychwyn y system.
Creu defnyddiwr yn Active Directory otp, gyda chyfrinair FySuperPassword.
Cam 2. Sefydlu'r cysylltiad a mewnforio defnyddwyr Active Directory
I wneud hyn, mae angen mynediad i'r consol, ac yn uniongyrchol y ffeil multiotp.php, gan ddefnyddio y byddwn yn ffurfweddu'r gosodiadau ar gyfer cysylltu â Active Directory.
Ewch i'r cyfeiriadur /usr/lleol/bin/multiop/ a rhedeg y gorchmynion canlynol fesul un:
./multiotp.php -config default-request-prefix-pin=0
Penderfynu a oes angen pin ychwanegol (parhaol) wrth nodi pin un-amser (0 neu 1)
./multiotp.php -config default-request-ldap-pwd=0
Yn pennu a oes angen cyfrinair parth wrth fynd i mewn i bin un-amser (0 neu 1)
./multiotp.php -config ldap-server-type=1
Mae'r math o weinydd LDAP wedi'i nodi (0 = gweinydd LDAP arferol, yn ein hachos ni 1 = Active Directory)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"
Yn pennu'r fformat i gynrychioli'r enw defnyddiwr (bydd y gwerth hwn yn allbynnu'r enw defnyddiwr yn unig, heb y parth)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"
Yr un peth, dim ond ar gyfer y grŵp
./multiotp.php -config ldap-group-attribute="memberOf"
Yn pennu'r dull ar gyfer penderfynu a yw defnyddiwr yn perthyn i grŵp
./multiotp.php -config ldap-ssl=1
A ddylid defnyddio cysylltiad diogel â'r gweinydd LDAP (ie, wrth gwrs!)
./multiotp.php -config ldap-port=636
Porth ar gyfer cysylltu â'r gweinydd LDAP
./multiotp.php -config ldap-domain-controllers=adSRV.domain.local
Cyfeiriad eich gweinydd Active Directory
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"
Nodwch ble i ddechrau chwilio am ddefnyddwyr yn y parth
./multiotp.php -config ldap-bind-dn="[email protected]"
Nodwch ddefnyddiwr sydd â hawliau chwilio yn Active Directory
./multiotp.php -config ldap-server-password="MySuperPassword"
Nodwch y cyfrinair defnyddiwr i gysylltu â Active Directory
./multiotp.php -config ldap-network-timeout=10
Gosod terfyn amser ar gyfer cysylltu â Active Directory
./multiotp.php -config ldap-time-limit=30
Gosod terfyn amser ar gyfer y gweithrediad mewnforio defnyddiwr
./multiotp.php -config ldap-activated=1
Ysgogi ffurfwedd cysylltiad Active Directory
./multiotp.php -debug -display-log -ldap-users-sync
Rydym yn mewnforio defnyddwyr o Active Directory
Cam 3. Cynhyrchu cod QR ar gyfer y tocyn
Mae popeth yn hynod o syml yma. Agorwch ryngwyneb gwe y gweinydd OTP yn y porwr, mewngofnodwch (peidiwch ag anghofio newid y cyfrinair rhagosodedig ar gyfer y gweinyddwr!), A chliciwch ar y botwm "Print":
Canlyniad y weithred hon fydd tudalen sy'n cynnwys dau god QR. Rydyn ni'n anwybyddu'r cyntaf ohonyn nhw'n feiddgar (er gwaethaf yr arysgrif ddeniadol Google Authenticator / Authenticator / 2 Steps Authenticator), ac eto yn sganio'r ail god yn eofn i docyn meddalwedd ar y ffôn:
(do, fe wnes i wneud llanast o'r cod QR yn fwriadol i'w wneud yn annarllenadwy).
Ar ôl cyflawni'r camau hyn yn eich cais, bob tri deg eiliad, bydd cyfrinair chwe digid yn cael ei gynhyrchu.
Ar gyfer ffyddlondeb, gallwch wirio, yn yr un rhyngwyneb:
Mewnbynnu'r enw defnyddiwr a chyfrinair un-amser o'r cais ar y ffôn. Wedi cael ymateb cadarnhaol? Felly symudwn ymlaen.
Cam 4. Ffurfweddu a phrofi FreeRADIUS
Fel y soniais uchod, mae multiOTP eisoes wedi'i ffurfweddu i weithio gyda FreeRADIUS, mae'n dal i fod i redeg profion ac ychwanegu gwybodaeth am ein porth VPN i ffeil ffurfweddu FreeRADIUS.
Rydym yn dychwelyd i'r consol gweinydd, i'r cyfeiriadur /usr/lleol/bin/multiop/, rhowch:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1
Gan gynnwys felly logio mwy manwl.
Yn ffeil ffurfweddu cleient FreeRADIUS (/etc/freeradius/clinets.conf) sylw pob llinell perthynol i localhost ac ychwanegu dau gofnod:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}
- ar gyfer y prawf
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}
- ar gyfer ein porth VPN.
Ailgychwynnwch FreeRADIUS a cheisiwch fewngofnodi:
radtest username 100110 localhost 1812 testing321
lle enw defnyddiwr = enw defnyddiwr, 100110 = cyfrinair a roddwyd i ni gan y cais ar y ffôn, localhost = cyfeiriad gweinydd RADIUS, 1812 - porthladd gweinydd RADIUS, profi321 — cyfrinair cleient gweinydd RADIUS (a nodwyd gennym yn y ffurfweddiad).
Bydd allbwn y gorchymyn hwn yn rhywbeth fel y canlynol:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20
Nawr mae angen i ni sicrhau bod y defnyddiwr yn cael ei ddilysu'n llwyddiannus. I wneud hyn, byddwn yn edrych i mewn i log multiotp ei hun:
tail /var/log/multiotp/multiotp.log
Ac os yw'r cofnod olaf yna:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1
Yna aeth popeth yn dda, a gallwn berfformio
Cam 5 Ffurfweddu'r Cisco ASA
Gadewch i ni gytuno bod gennym ni grŵp a pholisïau wedi'u ffurfweddu eisoes ar gyfer mynediad trwy SLL VPN, wedi'u ffurfweddu ar y cyd â Active Directory, ac mae angen i ni ychwanegu dilysiad dau ffactor ar gyfer y proffil hwn.
1. Ychwanegu grŵp gweinydd AAA newydd:
2. Ychwanegu ein gweinydd multiOTP i'r grŵp:
3. Rheol proffil cysylltiad, gan osod y grŵp o weinyddion Active Directory fel y prif weinydd dilysu:
4. Yn y tab Uwch -> Dilysu dewiswch hefyd grŵp o weinyddion Active Directory:
5. Yn y tab Uwch -> Uwchradd dilysu dewiswch y grŵp gweinydd a grëwyd y mae'r gweinydd multiOTP wedi'i gofrestru ynddo. Sylwch fod enw defnyddiwr y Sesiwn wedi'i etifeddu o'r prif grŵp gweinydd AAA:
Cymhwyso gosodiadau a
Cam 6 yw'r un olaf
Rydym yn gwirio a yw dilysu dau ffactor ar gyfer SLL VPN yn gweithio i ni:
Ystyr geiriau: Voila! Wrth gysylltu trwy'r Cleient Cisco AnyConnect VPN, gofynnir am ail gyfrinair un-amser hefyd.
Rwy'n gobeithio y bydd yr erthygl hon yn helpu rhywun, ac y bydd yn rhoi rhywbeth i rywun feddwl amdano, sut y gallwch chi ei ddefnyddio, am ddim Gweinydd OTP, ar gyfer tasgau eraill. Rhannwch y sylwadau os dymunwch.
Ffynhonnell: hab.com