Tha an fheum air ruigsinneachd iomallach a thoirt do àrainneachd chorporra a’ nochdadh nas trice, ge bith an e do luchd-cleachdaidh no do chom-pàirtichean a tha feumach air ruigsinneachd air frithealaiche sònraichte sa bhuidheann agad.
Airson na h-adhbharan sin, bidh a ’mhòr-chuid de chompanaidhean a’ cleachdadh teicneòlas VPN, a tha air dearbhadh gu bheil e na dhòigh air a dhìon gu earbsach gus cothrom a thoirt do ghoireasan ionadail na buidhne.
Bha a’ chompanaidh agam mar eisgeachd, agus bidh sinne, mar mòran eile, a’ cleachdadh an teicneòlais seo. Agus, mar mòran eile, bidh sinn a’ cleachdadh Cisco ASA 55xx mar gheata inntrigidh iomallach.
Mar a tha an àireamh de luchd-cleachdaidh iomallach a 'dol am meud, feumar an dòigh-obrach airson a bhith a' toirt seachad teisteanasan a dhèanamh nas sìmplidhe. Ach aig an aon àm, feumar seo a dhèanamh gun a bhith a 'toirt buaidh air sàbhailteachd.
Dhuinn fhìn, lorg sinn fuasgladh ann a bhith a’ cleachdadh dearbhadh dà-fhactaraidh airson ceangal tro Cisco SSL VPN, a’ cleachdadh faclan-faire aon-ùine. Agus innsidh am foillseachadh seo dhut mar a chuireas tu fuasgladh mar seo air dòigh le glè bheag de ùine agus cosgaisean neoni airson a’ bhathar-bog riatanach (cho fad ‘s gu bheil Cisco ASA agad sa bhun-structar agad mu thràth).
Tha a’ mhargaidh làn de fhuasglaidhean bogsa airson faclan-faire aon-ùine a ghineadh, agus aig an aon àm a’ tabhann tòrr roghainnean airson am faighinn, biodh e a’ cur am facal-faire tro SMS no a’ cleachdadh tokens, an dà chuid bathar-cruaidh is bathar-bog (mar eisimpleir, air fòn-làimhe). Ach thug am miann airgead a shàbhaladh agus am miann airgead a shàbhaladh don neach-fastaidh agam, anns an èiginn a th’ ann an-dràsta, orm dòigh an-asgaidh a lorg airson seirbheis a chuir an gnìomh airson faclan-faire aon-ùine a ghineadh. A tha, ged a tha e an-asgaidh, nach eil mòran nas ìsle na fuasglaidhean malairteach (an seo bu chòir dhuinn glèidheadh, a ’toirt fa-near gu bheil dreach malairteach aig an toradh seo cuideachd, ach dh’ aontaich sinn gum bi na cosgaisean againn, ann an airgead, neoni).
Mar sin, feumaidh sinn:
- Ìomhaigh Linux le seata innealan togte - multiOTP, FreeRADIUS agus nginx, airson faighinn chun t-seirbheisiche tron lìon (http://download.multiotp.net/ - chleachd mi dealbh deiseil airson VMware)
- Frithealaiche Active Directory
- Cisco ASA fhèin (airson goireasachd, bidh mi a’ cleachdadh ASDM)
- Comharra bathar-bog sam bith a bheir taic don uidheamachd TOTP (bidh mi, mar eisimpleir, a’ cleachdadh Google Authenticator, ach nì an aon FreeOTP)
Cha tèid mi a-steach gu mion-fhiosrachadh air mar a bhios an ìomhaigh a’ leudachadh. Mar thoradh air an sin, gheibh thu Debian Linux le multiOTP agus FreeRADIUS air a chuir a-steach mu thràth, air a rèiteachadh gus obrachadh còmhla, agus eadar-aghaidh lìn airson rianachd OTP.
Ceum 1. Tha sinn a thòiseachadh an t-siostam agus a rèiteachadh airson lìonra agad
Gu gnàthach, thig an siostam le teisteanasan root root. Tha mi a’ smaoineachadh gun robh a h-uile duine den bheachd gur e deagh bheachd a bhiodh ann am facal-faire root user atharrachadh às deidh a’ chiad logadh a-steach. Feumaidh tu cuideachd na roghainnean lìonra atharrachadh (a ghnàth 's e '192.168.1.44' a th' ann leis a' gheata '192.168.1.1'). Às deidh sin faodaidh tu an siostam ath-thòiseachadh.
Nach cruthaich sinn cleachdaiche ann an Active Directory dòbhran, le facal-faire MySuperPassword.
Ceum 2. Stèidhich an ceangal agus a-steach Active Directory luchd-cleachdaidh
Gus seo a dhèanamh, feumaidh sinn cothrom air a 'chonsail, agus gu dìreach chun an fhaidhle multiotp.php, a’ cleachdadh a shuidhicheas sinn roghainnean ceangail ri Active Directory.
Rach don eòlaire /usr/ionadail/bin/multiotp/ agus cuir an gnìomh na h-òrdughan a leanas mu seach:
./multiotp.php -config default-request-prefix-pin=0Co-dhùnadh a bheil feum air prìne a bharrachd (maireannach) nuair a thèid thu a-steach do phrìne aon-ùine (0 no 1)
./multiotp.php -config default-request-ldap-pwd=0Co-dhùnadh a bheil feum air facal-faire fearainn nuair a thèid thu a-steach do phrìne aon-ùine (0 no 1)
./multiotp.php -config ldap-server-type=1Tha an seòrsa frithealaiche LDAP air a chomharrachadh (0 = frithealaiche LDAP cunbhalach, nar cùis 1 = Active Directory)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"Sònraich an cruth anns an tèid an t-ainm-cleachdaiche a thaisbeanadh (cha nochd an luach seo ach an t-ainm, às aonais an àrainn)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"An aon rud, dìreach airson buidheann
./multiotp.php -config ldap-group-attribute="memberOf"Sònraichidh seo dòigh airson co-dhùnadh am buin cleachdaiche do bhuidheann
./multiotp.php -config ldap-ssl=1Am bu chòir dhomh ceangal tèarainte a chleachdadh ris an fhrithealaiche LDAP (gu dearbh, tha!)
./multiotp.php -config ldap-port=636Port airson ceangal ris an fhrithealaiche LDAP
./multiotp.php -config ldap-domain-controllers=adSRV.domain.localAn seòladh frithealaiche Active Directory agad
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"Bidh sinn a’ comharrachadh càite an tòisich sinn a’ lorg luchd-cleachdaidh san raon
./multiotp.php -config ldap-bind-dn="[email protected]"Sònraich cleachdaiche aig a bheil còraichean sgrùdaidh ann an Active Directory
./multiotp.php -config ldap-server-password="MySuperPassword"Sònraich am facal-faire cleachdaiche gus ceangal ri Active Directory
./multiotp.php -config ldap-network-timeout=10A’ suidheachadh an ùine airson ceangal ri Active Directory
./multiotp.php -config ldap-time-limit=30Shuidhich sinn crìoch ùine airson gnìomhachd in-mhalairt luchd-cleachdaidh
./multiotp.php -config ldap-activated=1Cuir an gnìomh rèiteachadh ceangail Active Directory
./multiotp.php -debug -display-log -ldap-users-syncBidh sinn a’ toirt a-steach luchd-cleachdaidh bho Active Directory
Ceum 3. Generate QR code airson an tòcan
Tha a h-uile dad an seo gu math sìmplidh. Fosgail eadar-aghaidh lìn an fhrithealaiche OTP sa bhrobhsair, log a-steach (na dìochuimhnich am facal-faire bunaiteach atharrachadh airson an rianaire!), Agus cliog air a’ phutan “Clò-bhuail”:
Is e toradh na gnìomh seo duilleag anns a bheil dà chòd QR. Bidh sinn gu dàna a’ seachnadh a’ chiad fhear dhiubh (a dh’ aindeoin an sgrìobhadh tarraingeach Google Authenticator / Authenticator / 2 Steps Authenticator), agus a-rithist bidh sinn gu dàna a’ sganadh an dàrna còd gu comharra bathar-bog air a’ fòn:
(tha, mhill mi an còd QR a dh’aona ghnothach gus a dhèanamh neo-leughaidh).
Às deidh na gnìomhan sin a chrìochnachadh, tòisichidh facal-faire sia-dhigitach air a chruthachadh san tagradh agad a h-uile trithead diog.
Gus a bhith cinnteach, faodaidh tu sgrùdadh a dhèanamh air san aon eadar-aghaidh:
Le bhith a’ cuir a-steach d’ ainm-cleachdaidh agus facal-faire aon-ùine bhon tagradh air an fhòn agad. An d’ fhuair thu deagh fhreagairt? Mar sin gluaisidh sinn air adhart.
Ceum 4. Rèiteachadh a bharrachd agus deuchainn air obrachadh FreeRADIUS
Mar a thuirt mi gu h-àrd, tha multiOTP mu thràth air a rèiteachadh gus obrachadh le FreeRADIUS, chan eil air fhàgail ach deuchainnean a ruith agus fiosrachadh a chuir ris mun gheata VPN againn gu faidhle rèiteachaidh FreeRADIUS.
Tillidh sinn gu consol an fhrithealaiche, chun an eòlaire /usr/ionadail/bin/multiotp/, cuir a-steach:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1A’ toirt a-steach logadh nas mionaidiche.
Ann am faidhle rèiteachaidh teachdaichean FreeRADIUS (/etc/freeradius/clinets.conf) beachd a thoirt air a h-uile loidhne co-cheangailte ri localhost agus cuir dà phìos ris:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}- airson deuchainn
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}- airson ar geata VPN.
Ath-thòisich FreeRADIUS agus feuch ri logadh a-steach:
radtest username 100110 localhost 1812 testing321far a bheil ainm-cleachdaidh = ainm-cleachdaidh, 100110 = facal-faire a thug an aplacaid dhuinn air a’ fòn, localhost = Seòladh frithealaiche RADIUS, 1812 - port frithealaiche RADIUS, deuchainn321 - Facal-faire teachdaiche frithealaiche RADIUS (a shònraich sinn san config).
Bidh toradh an àithne seo air a thoirt a-mach timcheall air mar a leanas:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20A-nis feumaidh sinn dèanamh cinnteach gu bheil an neach-cleachdaidh air a dhearbhadh gu soirbheachail. Gus seo a dhèanamh, bheir sinn sùil air an loga multiotp fhèin:
tail /var/log/multiotp/multiotp.logAgus ma tha an inntrigeadh mu dheireadh ann:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1An uairsin chaidh a h-uile càil gu math agus is urrainn dhuinn a chrìochnachadh
Ceum 5: Dèan rèiteachadh air Cisco ASA
Aontaichidh sinn gu bheil buidheann agus poileasaidhean rèiteachaidh againn mu thràth airson ruigsinneachd tro SLL VPN, air an rèiteachadh ann an co-bhonn ri Active Directory, agus feumaidh sinn dearbhadh dà-fhactaraidh a chuir ris airson a’ phròifil seo.
1. Cuir buidheann frithealaiche AAA ùr ris:
2. Cuir ar frithealaiche multiOTP ris a’ chuantal:
3. Deasaich sinn pròifil ceangail, a’ suidheachadh am buidheann frithealaiche Active Directory mar am prìomh fhrithealaiche dearbhaidh:
4. Anns an taba Adhartach -> Dearbhadh Bidh sinn cuideachd a’ taghadh am buidheann frithealaiche Active Directory:
5. Anns an taba Adhartach -> Àrd-sgoil dearbhadh, tagh am buidheann frithealaiche cruthaichte anns a bheil am frithealaiche multiOTP clàraichte. Thoir an aire gu bheil ainm-cleachdaidh an t-Seisein air fhaighinn bhon phrìomh bhuidheann frithealaiche AAA:
Cuir a-steach na roghainnean agus
Ceum 6, ris an fhear mu dheireadh
Feuch an dèan sinn cinnteach a bheil dearbhadh dà-fhactaraidh ag obair airson SLL VPN:
Voila! Nuair a nì thu ceangal tro Cisco AnyConnect VPN Client, thèid iarraidh ort dàrna facal-faire aon-ùine cuideachd.
Tha mi an dòchas gun cuidich an artaigil seo cuideigin, agus gun toir e biadh dha cuideigin airson smaoineachadh air mar a chleachdas tu seo, an-asgaidh Frithealaiche OTP, airson gnìomhan eile. Co-roinn anns na beachdan ma thogras tu.
Source: www.habr.com