Tá an gá atá le cianrochtain a sholáthar ar thimpeallacht chorparáideach ag teacht chun cinn níos minicí, is cuma cé acu d’úsáideoirí nó do chomhpháirtithe a bhfuil rochtain ag teastáil uathu ar fhreastalaí ar leith i d’eagraíocht.
Chun na gcríoch sin, úsáideann formhór na gcuideachtaí teicneolaíocht VPN, a chruthaigh gur bealach iontaofa cosanta í chun rochtain a sholáthar ar acmhainní áitiúla na heagraíochta.
Ní raibh mo chuideachta aon eisceacht, agus táimid, cosúil le go leor eile, úsáid as an teicneolaíocht seo. Agus, cosúil le go leor eile, úsáidimid Cisco ASA 55xx mar gheata cianrochtana.
De réir mar a mhéadaíonn líon na n-úsáideoirí iargúlta, is gá an nós imeachta maidir le dintiúir a eisiúint a shimpliú. Ach ag an am céanna, ní mór é seo a dhéanamh gan cur isteach ar shábháilteacht.
Maidir linn féin, fuaireamar réiteach maidir le fíordheimhniú dhá fhachtóir a úsáid chun nascadh trí Cisco SSL VPN, ag baint úsáide as pasfhocail aonuaire. Agus inseoidh an foilseachán seo duit conas réiteach den sórt sin a eagrú le ham íosta agus costais nialais do na bogearraí riachtanacha (ar choinníoll go bhfuil Cisco ASA agat cheana féin i do bhonneagar).
Tá an margadh lán le réitigh bhosca chun pasfhocail aonuaire a ghiniúint, agus a lán roghanna á thairiscint chun iad a fháil, bíodh an focal faire á sheoladh trí SMS nó ag baint úsáide as comharthaí, crua-earraí agus bogearraí araon (mar shampla, ar fhón póca). Ach chuir an fonn airgead a shábháil agus an fonn airgead a shábháil ar m’fhostóir, sa ghéarchéim reatha, iachall orm teacht ar bhealach saor in aisce chun seirbhís a chur i bhfeidhm chun pasfhocail aonuaire a ghiniúint. Cé nach bhfuil, cé go bhfuil sé saor in aisce, i bhfad níos lú ná réitigh tráchtála (anseo ba cheart dúinn áirithint a dhéanamh, ag tabhairt faoi deara go bhfuil leagan tráchtála ag an táirge seo freisin, ach d'aontaigh muid go mbeidh ár gcostais, in airgead, nialasach).
Mar sin, ní mór dúinn:
- Íomhá Linux le sraith uirlisí ionsuite - multiOTP, FreeRADIUS agus nginx, chun rochtain a fháil ar an bhfreastalaí tríd an ngréasán (http://download.multiotp.net/ - d'úsáid mé íomhá réidh le haghaidh VMware)
— Freastalaí Eolaire Gníomhach
- Cisco ASA féin (mar áis, úsáidim ASDM)
— Aon chomhartha bogearraí a thacaíonn leis an meicníocht TOTP (úsáidim, mar shampla, Google Authenticator, ach déanfaidh an FreeOTP céanna)
Ní rachaidh mé isteach i sonraí faoin gcaoi a bhforbróidh an íomhá. Mar thoradh air sin, gheobhaidh tú Debian Linux le multiOTP agus FreeRADIUS suiteáilte cheana féin, cumraithe chun oibriú le chéile, agus comhéadan gréasáin le haghaidh riarachán OTP.
Céim 1. Cuirimid tús leis an gcóras agus é a chumrú do do líonra
De réir réamhshocraithe, tagann an córas le dintiúir fhréamh root. Sílim go ndearna gach duine buille faoi thuairim gur smaoineamh maith a bheadh ann an focal faire úsáideora fréimhe a athrú tar éis an chéad logáil isteach. Ní mór duit freisin na socruithe líonra a athrú (de réir réamhshocraithe is é '192.168.1.44' é agus an geata '192.168.1.1'). Ina dhiaidh sin is féidir leat an córas a atosú.
Cruthaímid úsáideoir san Eolaire Gníomhach otp, le pasfhocal MySuperPassword.
Céim 2. Socraigh suas an nasc agus úsáideoirí Eolaire Gníomhach allmhairiú
Chun seo a dhéanamh, ní mór dúinn rochtain ar an consól, agus go díreach chuig an gcomhad multiotp.php, agus úsáidfimid socruithe nasctha leis an Eolaire Gníomhach á úsáid againn.
Téigh go dtí an eolaire /usr/áitiúil/bin/multiop/ agus déan na horduithe seo a leanas ar a seal:
./multiotp.php -config default-request-prefix-pin=0Cinneann an bhfuil bioráin bhreise (buan) ag teastáil agus bioráin aonuaire (0 nó 1) á iontráil
./multiotp.php -config default-request-ldap-pwd=0Cinneann an bhfuil pasfhocal fearainn ag teastáil agus biorán aonuaire á chur isteach (0 nó 1)
./multiotp.php -config ldap-server-type=1Cuirtear an cineál freastalaí LDAP in iúl (0 = freastalaí LDAP rialta, inár gcás 1 = Eolaire Gníomhach)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"Sonraítear an fhormáid inar féidir an t-ainm úsáideora a chur i láthair (ní thaispeánfaidh an luach seo ach an t-ainm, gan an fearann)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"An rud céanna, do ghrúpa amháin
./multiotp.php -config ldap-group-attribute="memberOf"Sonraíonn sé modh chun a chinneadh an mbaineann úsáideoir le grúpa
./multiotp.php -config ldap-ssl=1Ar cheart dom nasc slán a úsáid leis an bhfreastalaí LDAP (ar ndóigh - tá!)
./multiotp.php -config ldap-port=636Port chun nascadh leis an bhfreastalaí LDAP
./multiotp.php -config ldap-domain-controllers=adSRV.domain.localDo sheoladh freastalaí Eolaire Gníomhach
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"Léirímid cá háit le tosú ag cuardach úsáideoirí san fhearann
./multiotp.php -config ldap-bind-dn="[email protected]"Sonraigh úsáideoir a bhfuil cearta cuardaigh aige san Eolaire Gníomhach
./multiotp.php -config ldap-server-password="MySuperPassword"Sonraigh an pasfhocal úsáideora chun ceangal leis an Eolaire Gníomhach
./multiotp.php -config ldap-network-timeout=10Socrú an teorainn ama chun nascadh leis an Eolaire Gníomhach
./multiotp.php -config ldap-time-limit=30Shocraigh muid teorainn ama don oibríocht iompórtála úsáideora
./multiotp.php -config ldap-activated=1Cumraíocht nasc an Eolaire Gníomhach a ghníomhachtú
./multiotp.php -debug -display-log -ldap-users-syncIompórtáimid úsáideoirí ón Eolaire Gníomhach
Céim 3. Gin cód QR don chomhartha
Tá gach rud anseo thar a bheith simplí. Oscail comhéadan gréasáin an fhreastalaí OTP sa bhrabhsálaí, logáil isteach (ná déan dearmad an focal faire réamhshocraithe don riarthóir a athrú!), Agus cliceáil ar an gcnaipe “Priontáil”:
Is é an toradh a bheidh ar an ngníomh seo ná leathanach a mbeidh dhá chód QR ann. Déanaimid neamhaird dána ar an gcéad cheann acu (in ainneoin an inscríbhinn tarraingteach Google Authenticator / Authenticator / 2 Steps Authenticator), agus arís eile déanaimid an dara cód a scanadh go dána isteach i chomhartha bogearraí ar an bhfón:
(Sea, millte mé an cód QR d'aon ghnó chun é a dhéanamh do-léite).
Tar éis na gníomhartha seo a chur i gcrích, cuirfear tús le pasfhocal sé dhigit a ghiniúint i d’iarratas gach tríocha soicind.
Chun a bheith cinnte, is féidir leat é a sheiceáil sa chomhéadan céanna:
Trí d'ainm úsáideora agus pasfhocal aonuaire a chur isteach ón bhfeidhmchlár ar do ghuthán. An bhfuair tú freagra dearfach? Mar sin bogaimid ar aghaidh.
Céim 4. Cumraíocht bhreise agus tástáil oibríocht FreeRADIUS
Mar a luaigh mé thuas, tá multiOTP cumraithe cheana féin le bheith ag obair le FreeRADIUS, níl fágtha ach tástálacha a reáchtáil agus faisnéis a chur faoinár ngeata VPN chuig an gcomhad cumraíochta FreeRADIUS.
Fillimid ar chonsól an fhreastalaí, chuig an eolaire /usr/áitiúil/bin/multiop/, cuir isteach:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1Lena n-áirítear logáil níos mionsonraithe.
Sa chomhad cumraíochta cliant FreeRADIUS (/etc/freeradius/clinets.conf) trácht amach gach líne a bhaineann le localhost agus cuir dhá iontráil leis:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}- le haghaidh tástála
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}- dár tairseach VPN.
Atosaigh FreeRADIUS agus déan iarracht logáil isteach:
radtest username 100110 localhost 1812 testing321i gcás ainm úsáideora = ainm úsáideora, 100110 = pasfhocal tugtha dúinn ag an bhfeidhmchlár ar an bhfón, localhost = seoladh freastalaí RADIUS, 1812 — port freastalaí RADIUS, test321 - Pasfhocal cliant freastalaí RADIUS (a shonraigh muid sa chumraíocht).
Déanfar toradh an ordaithe seo a aschur thart ar mar seo a leanas:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20Anois ní mór dúinn a chinntiú go bhfuil an t-úsáideoir fíordheimhnithe go rathúil. Chun seo a dhéanamh, féachfaimid ar loga multiotp féin:
tail /var/log/multiotp/multiotp.logAgus má tá an iontráil dheireanach ann:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1Ansin chuaigh gach rud go maith agus is féidir linn a chríochnú
Céim 5: Cumraigh Cisco ASA
Aontaímid go bhfuil grúpa agus polasaithe cumraithe againn cheana féin le haghaidh rochtana trí SLL VPN, cumraithe i gcomhar le Active Directory, agus ní mór dúinn fíordheimhniú dhá fhachtóir a chur leis don phróifíl seo.
1. Cuir grúpa freastalaí AAA nua leis:
2. Cuir ár bhfreastalaí multiOTP leis an ngrúpa:
3. Déanaimid eagarthóireacht próifíl nasc, ag socrú an ghrúpa freastalaí Eolaire Gníomhach mar an príomhfhreastalaí fíordheimhnithe:
4. Sa chluaisín Casta -> Fíordheimhniú Roghnaímid an grúpa freastalaí Eolaire Gníomhach freisin:
5. Sa chluaisín Casta -> Meánscoileanna fíordheimhnithe, roghnaigh an grúpa freastalaí cruthaithe ina bhfuil an freastalaí multiOTP cláraithe. Tabhair faoi deara go bhfuil ainm úsáideora an tSeisiúin le hoidhreacht ón bpríomhghrúpa freastalaí AAA:
Cuir na socruithe i bhfeidhm agus
Céim 6, aka an ceann deireanach
Déanaimis seiceáil an n-oibríonn fíordheimhniú dhá fhachtóir do SLL VPN:
Voila! Nuair a bheidh tú ag nascadh trí Cliant Cisco AnyConnect VPN, iarrfar ort an dara pasfhocal aonuaire freisin.
Tá súil agam go gcabhróidh an t-alt seo le duine éigin, agus go dtabharfaidh sé smaoineamh do dhuine conas é seo a úsáid, saor in aisce Freastalaí OTP, le haghaidh tascanna eile. Roinn sna tuairimí más mian leat.
Foinse: will.com