Cad atá le déanamh más mian leat fíordheimhnithe dhá-fhachtóir agus go bhfuil leisce ort, ach níl aon airgead ann le haghaidh comharthaí crua-earraí agus go ginearálta molann siad go gcoimeádtar giúmar maith.
Ní rud iontach bunaidh é an réiteach seo, ach meascán de réitigh éagsúla a fhaightear ar an Idirlíon.
Mar sin tugtar
Ainm Fearainn Eolaire Gníomhach.
Úsáideoirí fearainn a oibríonn trí VPN, cosúil le go leor inniu.
Feidhmíonn an VPN mar gheata Daingnigh.
Tá sé toirmiscthe ag polasaí slándála an focal faire a shábháil don chliant VPN.
Polaitíocht Fortinet maidir lena chuid comharthaí féin, ní féidir leat níos lú ná dearg a ghlaoch air - tá suas le 10 n-aonad de chomharthaí saor in aisce ann, tá an chuid eile ar phraghas an-neamh-kosher. Níor mheas mé RSASecureID, Duo agus a leithéidí, mar tá foinse oscailte uaim.
Réamhriachtanais: óstach * nix leis an seanbhunaithe saorradius, ssd — a chuirtear isteach san fhearann, is féidir le húsáideoirí fearainn a fhíordheimhniú go héasca air.
Pacáistí breise: bosca sliogáin, figead, freeradius-ldap, cló reibiliúnach.tlf ón stór .
I mo shampla, CentOS 7.8.
Is é seo a leanas an loighic oibriúcháin: agus é ag nascadh le VPN, ní mór don úsáideoir logáil isteach fearainn agus OTP a chur isteach in ionad pasfhocal.
Seirbhísí a shocrú
В /etc/raddb/radiusd.conf ach an t-úsáideoir agus an grúpa a dtosaíonn sé ag athrú faoina ainm saorradius, ós rud é an tseirbhís ga a bheith in ann comhaid a léamh i ngach fochomhadlann / baile /.
user = root
group = root
Chun a bheith in ann grúpaí a úsáid i socruithe Daingnigh, is gá a tharchur Tréith Shonrach an Díoltóra. Chun seo a dhéanamh san eolaire raddb/polasaí.d Cruthaím comhad leis an ábhar seo a leanas:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
Tar éis a shuiteáil freeradius-ldap san eolaire raddb/mods-ar fáil cruthaítear comhad LDAP.
Ní mór duit nasc siombalach a chruthú leis an eolaire raddb/mods-chumasaithe.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapCuirim a bhfuil ann mar seo a leanas:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
I gcomhaid raddb/láithreáin-chumasaithe/réamhshocraithe и raddb/láithreáin-chumasaithe/tollán istigh i roinn a údarú Cuirim ainm an pholasaí a úsáidfear - group_authorization. Pointe tábhachtach - nach bhfuil ainm an pholasaí a chinnfidh ainm an chomhaid san eolaire polasaí.d, ach treoir taobh istigh den chomhad roimh na braces curly.
Sa chuid fhíordheimhniú sna comhaid chéanna is gá duit a uncomment an líne pam.
I gcomhad cliaint.conf sonraigh na paraiméadair lena nascfar iad Daingnigh:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
Cumraíocht an mhodúil pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
Roghanna réamhshocraithe chun an beart a chur i bhfeidhm saorradius с google authenticator a cheangal ar an úsáideoir dintiúir a chur isteach san fhormáid: Focal faire ainm úsáideora+OTP.
Samhlaigh líon na mallachtaí a thitfidh ar do cheann má úsáideann tú an copula réamhshocraithe saorradius с Google Authenticator, socraíodh cumraíocht an mhodúil a úsáid pam ionas nach ndéantar ach an comhartha a sheiceáil Google Authenticator.
Nuair a nascann úsáideoir, tarlaíonn na rudaí seo a leanas:
- Seiceálann Freeradius cibé an bhfuil an t-úsáideoir san fhearann agus i ngrúpa ar leith agus, má éiríonn leis, seiceálann sé an comhartha OTP.
D’éirigh go maith le gach rud go dtí gur shíl mé, “Conas is féidir liom OTP a chlárú do 300+ úsáideoir?”
Ní mór don úsáideoir logáil isteach ar an bhfreastalaí le saorradius agus ó do chuntas agus seoladh an feidhmchlár Fíordheimhnitheoir Google, rud a ghinfidh cód QR don iarratas don úsáideoir. Seo nuair a thagann sé chun an tarrthála bosca sliogáin i gcomhcheangal le .bash_phróifíl.
[root@freeradius ~]# yum install -y shellinabox
Tá an comhad cumraíochta deamhan suite i /etc/sysconfig/shellinabox.
Sonraigh mé port 443 ann agus is féidir leat do theastas a shonrú.
[root@freeradius ~]#systemctl enable --now shellinaboxdNí féidir leis an úsáideoir ach an nasc a leanúint, dintiúir fearainn a chur isteach agus cód QR a fháil don fheidhmchlár.
Seo a leanas an algartam:
- Logálann an t-úsáideoir isteach sa mheaisín trí bhrabhsálaí.
- Seiceáiltear cé acu an bhfuil an t-úsáideoir ina úsáideoir fearainn. Mura bhfuil, ní dhéantar aon ghníomh.
- Más úsáideoir fearainn an t-úsáideoir, seiceáiltear ballraíocht sa ghrúpa riarthóirí.
- Mura riarthóir é, seiceálann sé an bhfuil Google Autheticator cumraithe. Mura bhfuil, gintear cód QR agus logálann an t-úsáideoir amach.
- Mura riarthóir tú agus go bhfuil Google Authenticator cumraithe, ansin níl le déanamh ach logáil amach.
- Más riarthóir é, seiceáil Google Authenticator arís. Mura bhfuil sé cumraithe, gintear cód QR.
Déantar gach loighic ag baint úsáide as /etc/skel/.bash_profile.
cat /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
Treisigh an socrú:
- Cruthaímid ga-freastalaí
- Cruthaímid na grúpaí riachtanacha, más gá rochtain a idirdhealú de réir grúpa. Ainm an ghrúpa ar Daingnigh caithfidh siad teacht leis an ngrúpa a sheoltar chucu Tréith Shonrach an Díoltóra Fortinet-Ainm an Ghrúpa.
- Eagarthóireacht a dhéanamh ar an gá SSL-tairseacha.
- Grúpaí á gcur le polasaithe.
Buntáistí an réitigh seo:
- Is féidir fíordheimhniú a dhéanamh trí OTP ar Daingnigh réiteach foinse oscailte.
- Ní chaithfidh an t-úsáideoir pasfhocal fearainn a chur isteach agus é ag nascadh trí VPN, rud a shimplíonn an próiseas nasctha beagán. Is fusa an pasfhocal 6 dhigit a chur isteach ná an ceann a sholáthraíonn an beartas slándála. Mar thoradh air sin, tá líon na dticéad leis an ábhar: “Ní féidir liom ceangal leis an VPN” ag laghdú.
PS Tá pleananna ann an réiteach seo a uasghrádú go fíordheimhniú iomlán dhá fhachtóir le freagairt dúshlán.
Nuashonrú:
Mar a gealladh, d'uasghrádaigh mé é go dtí an rogha le dúshlán-fhreagairt.
Mar sin:
I gcomhad /etc/raddb/sites-enable/default alt a údarú tá an chuma air seo:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
Roinn fhíordheimhniú Breathnaíonn mar seo anois:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
Anois tá an t-úsáideoir fíoraithe ag baint úsáide as an algartam seo a leanas:
- Cuireann an t-úsáideoir dintiúir fearainn isteach sa chliant VPN.
- Seiceálann Freeradius bailíocht cuntais agus pasfhocal
- Má tá an focal faire ceart, seoltar iarratas ar chomhartha.
- Tá an comhartha á fhíorú.
- Brabús).
Foinse: will.com