2FA પર જાઓ (ASA SSL VPN માટે બે-પરિબળ પ્રમાણીકરણ)

કોર્પોરેટ પર્યાવરણને દૂરસ્થ ઍક્સેસ પ્રદાન કરવાની જરૂરિયાત વધુ અને વધુ વખત ઉભરી રહી છે, પછી ભલે તે તમારા વપરાશકર્તાઓ અથવા ભાગીદારો હોય કે જેમને તમારી સંસ્થામાં ચોક્કસ સર્વરની ઍક્સેસની જરૂર હોય.

આ હેતુઓ માટે, મોટાભાગની કંપનીઓ VPN ટેક્નોલોજીનો ઉપયોગ કરે છે, જેણે સંસ્થાના સ્થાનિક સંસાધનોની ઍક્સેસ પ્રદાન કરવાની વિશ્વસનીય રીતે સુરક્ષિત રીત સાબિત કરી છે.

મારી કંપની કોઈ અપવાદ ન હતી, અને અમે, અન્ય ઘણા લોકોની જેમ, આ તકનીકનો ઉપયોગ કરીએ છીએ. અને, અન્ય ઘણા લોકોની જેમ, અમે રિમોટ એક્સેસ ગેટવે તરીકે Cisco ASA 55xx નો ઉપયોગ કરીએ છીએ.

જેમ જેમ રિમોટ યુઝર્સની સંખ્યામાં વધારો થાય છે તેમ, ઓળખપત્ર જારી કરવાની પ્રક્રિયાને સરળ બનાવવાની જરૂર છે. પરંતુ તે જ સમયે, આ સલામતી સાથે સમાધાન કર્યા વિના થવું જોઈએ.

અમારા માટે, અમે સિસ્કો SSL VPN દ્વારા કનેક્ટ થવા માટે, વન-ટાઇમ પાસવર્ડ્સનો ઉપયોગ કરીને દ્વિ-પરિબળ પ્રમાણીકરણનો ઉપયોગ કરીને ઉકેલ શોધી કાઢ્યો છે. અને આ પ્રકાશન તમને જણાવશે કે આવા સોલ્યુશનને ન્યૂનતમ સમય અને જરૂરી સૉફ્ટવેર માટે શૂન્ય ખર્ચ સાથે કેવી રીતે ગોઠવવું (જો તમારી પાસે પહેલેથી જ તમારા ઇન્ફ્રાસ્ટ્રક્ચરમાં Cisco ASA હોય).

બજાર વન-ટાઇમ પાસવર્ડ્સ જનરેટ કરવા માટેના બોક્સવાળા સોલ્યુશન્સથી ભરપૂર છે, જ્યારે તે મેળવવા માટે ઘણા બધા વિકલ્પો ઓફર કરે છે, પછી તે SMS દ્વારા પાસવર્ડ મોકલવો હોય કે ટોકન્સનો ઉપયોગ કરવો, હાર્ડવેર અને સોફ્ટવેર બંને (ઉદાહરણ તરીકે, મોબાઇલ ફોન પર). પરંતુ નાણાં બચાવવાની ઇચ્છા અને મારા એમ્પ્લોયર માટે નાણાં બચાવવાની ઇચ્છા, વર્તમાન કટોકટીમાં, મને વન-ટાઇમ પાસવર્ડ્સ જનરેટ કરવા માટેની સેવા અમલમાં મૂકવાની મફત રીત શોધવાની ફરજ પડી. જે, મફત હોવા છતાં, વ્યાપારી ઉકેલો કરતાં વધુ હલકી ગુણવત્તાવાળા નથી (અહીં આપણે આરક્ષણ કરવું જોઈએ, એ ​​નોંધવું કે આ ઉત્પાદનનું વ્યવસાયિક સંસ્કરણ પણ છે, પરંતુ અમે સંમત થયા છીએ કે અમારી કિંમત, નાણાંમાં, શૂન્ય હશે).

તેથી, આપણને જરૂર છે:

- ટૂલ્સના બિલ્ટ-ઇન સેટ સાથેની Linux ઈમેજ - multiOTP, FreeRADIUS અને nginx, વેબ દ્વારા સર્વર એક્સેસ કરવા માટે (http://download.multiotp.net/ - મેં VMware માટે તૈયાર ઈમેજનો ઉપયોગ કર્યો છે)
- સક્રિય ડિરેક્ટરી સર્વર
- સિસ્કો ASA પોતે (સુવિધા માટે, હું ASDM નો ઉપયોગ કરું છું)
- કોઈપણ સોફ્ટવેર ટોકન જે TOTP મિકેનિઝમને સપોર્ટ કરે છે (ઉદાહરણ તરીકે, હું Google પ્રમાણકર્તાનો ઉપયોગ કરું છું, પરંતુ તે જ FreeOTP કરશે)

હું છબી કેવી રીતે પ્રગટ થાય છે તેની વિગતોમાં જઈશ નહીં. પરિણામે, તમને મલ્ટિઓટીપી અને ફ્રીરેડિયસ સાથે ડેબિયન લિનક્સ પ્રાપ્ત થશે, જે એકસાથે કામ કરવા માટે રૂપરેખાંકિત છે, અને OTP વહીવટ માટે વેબ ઇન્ટરફેસ.

પગલું 1. અમે સિસ્ટમ શરૂ કરીએ છીએ અને તેને તમારા નેટવર્ક માટે ગોઠવીએ છીએ
મૂળભૂત રીતે, સિસ્ટમ રૂટ રુટ ઓળખપત્રો સાથે આવે છે. મને લાગે છે કે દરેક વ્યક્તિએ અનુમાન લગાવ્યું છે કે પ્રથમ લૉગિન પછી રૂટ વપરાશકર્તા પાસવર્ડ બદલવો એ સારો વિચાર હશે. તમારે નેટવર્ક સેટિંગ્સ પણ બદલવાની જરૂર છે (ડિફૉલ્ટ રૂપે તે ગેટવે '192.168.1.44' સાથે '192.168.1.1' છે). પછીથી તમે સિસ્ટમ રીબુટ કરી શકો છો.

ચાલો એક્ટિવ ડિરેક્ટરીમાં યુઝર બનાવીએ ઓ.ટી.પી., પાસવર્ડ સાથે MySuperPassword.

પગલું 2. કનેક્શન સેટ કરો અને સક્રિય ડિરેક્ટરી વપરાશકર્તાઓને આયાત કરો
આ કરવા માટે, અમને કન્સોલ અને સીધી ફાઇલની ઍક્સેસની જરૂર છે multiotp.php, જેનો ઉપયોગ કરીને અમે કનેક્શન સેટિંગ્સને એક્ટિવ ડિરેક્ટરીમાં ગોઠવીશું.

ડિરેક્ટરી પર જાઓ /usr/local/bin/multiotp/ અને બદલામાં નીચેના આદેશો ચલાવો:

./multiotp.php -config default-request-prefix-pin=0

વન-ટાઇમ પિન (0 અથવા 1) દાખલ કરતી વખતે વધારાની (કાયમી) પિન જરૂરી છે કે કેમ તે નિર્ધારિત કરે છે

./multiotp.php -config default-request-ldap-pwd=0

વન-ટાઇમ પિન દાખલ કરતી વખતે ડોમેન પાસવર્ડ જરૂરી છે કે કેમ તે નક્કી કરે છે (0 અથવા 1)

./multiotp.php -config ldap-server-type=1

LDAP સર્વરનો પ્રકાર દર્શાવેલ છે (0 = નિયમિત LDAP સર્વર, અમારા કિસ્સામાં 1 = સક્રિય ડિરેક્ટરી)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

તે ફોર્મેટનો ઉલ્લેખ કરે છે જેમાં વપરાશકર્તાનામ રજૂ કરવું છે (આ મૂલ્ય ડોમેન વિના, ફક્ત નામ પ્રદર્શિત કરશે)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

સમાન વસ્તુ, ફક્ત એક જૂથ માટે

./multiotp.php -config ldap-group-attribute="memberOf"

વપરાશકર્તા જૂથનો છે કે કેમ તે નિર્ધારિત કરવા માટેની પદ્ધતિનો ઉલ્લેખ કરે છે

./multiotp.php -config ldap-ssl=1

શું મારે LDAP સર્વર સાથે સુરક્ષિત કનેક્શનનો ઉપયોગ કરવો જોઈએ (અલબત્ત - હા!)

./multiotp.php -config ldap-port=636

LDAP સર્વર સાથે જોડાવા માટેનું પોર્ટ

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

તમારું સક્રિય ડિરેક્ટરી સર્વર સરનામું

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

અમે સૂચવીએ છીએ કે ડોમેનમાં વપરાશકર્તાઓની શોધ ક્યાંથી શરૂ કરવી

./multiotp.php -config ldap-bind-dn="[email protected]"

સક્રિય ડિરેક્ટરીમાં શોધ અધિકારો ધરાવતા વપરાશકર્તાનો ઉલ્લેખ કરો

./multiotp.php -config ldap-server-password="MySuperPassword"

સક્રિય ડિરેક્ટરી સાથે જોડાવા માટે વપરાશકર્તા પાસવર્ડનો ઉલ્લેખ કરો

./multiotp.php -config ldap-network-timeout=10

સક્રિય ડિરેક્ટરી સાથે જોડાવા માટે સમયસમાપ્તિ સુયોજિત કરી રહ્યા છીએ

./multiotp.php -config ldap-time-limit=30

અમે વપરાશકર્તા આયાત કામગીરી માટે સમય મર્યાદા સેટ કરીએ છીએ

./multiotp.php -config ldap-activated=1

સક્રિય ડિરેક્ટરી કનેક્શન રૂપરેખાંકન સક્રિય કરી રહ્યા છીએ

./multiotp.php -debug -display-log -ldap-users-sync

અમે સક્રિય ડિરેક્ટરીમાંથી વપરાશકર્તાઓને આયાત કરીએ છીએ

પગલું 3. ટોકન માટે QR કોડ જનરેટ કરો
અહીં બધું અત્યંત સરળ છે. બ્રાઉઝરમાં OTP સર્વરનું વેબ ઇન્ટરફેસ ખોલો, લોગ ઇન કરો (એડમિન માટે ડિફોલ્ટ પાસવર્ડ બદલવાનું ભૂલશો નહીં!), અને "પ્રિન્ટ" બટન પર ક્લિક કરો:

આ ક્રિયાનું પરિણામ એ પૃષ્ઠ હશે જેમાં બે QR કોડ હશે. અમે હિંમતભેર તેમાંથી પ્રથમને અવગણીએ છીએ (આકર્ષક શિલાલેખ Google પ્રમાણકર્તા / પ્રમાણકર્તા / 2 પગલાં પ્રમાણકર્તા હોવા છતાં), અને ફરીથી અમે હિંમતભેર બીજા કોડને ફોન પરના સોફ્ટવેર ટોકનમાં સ્કેન કરીએ છીએ:

(હા, QR કોડ વાંચી ન શકાય તે માટે મેં જાણી જોઈને તેને બગાડ્યો છે).

આ ક્રિયાઓ પૂર્ણ કર્યા પછી, તમારી એપ્લિકેશનમાં દર ત્રીસ સેકન્ડે છ-અંકનો પાસવર્ડ જનરેટ થવાનું શરૂ થશે.

ખાતરી કરવા માટે, તમે તેને સમાન ઇન્ટરફેસમાં ચકાસી શકો છો:

તમારા ફોન પરની એપ્લિકેશનમાંથી તમારું વપરાશકર્તા નામ અને વન-ટાઇમ પાસવર્ડ દાખલ કરીને. શું તમને સકારાત્મક પ્રતિસાદ મળ્યો? તેથી અમે આગળ વધીએ છીએ.

પગલું 4. FreeRADIUS ઓપરેશનનું વધારાનું રૂપરેખાંકન અને પરીક્ષણ
જેમ મેં ઉપર ઉલ્લેખ કર્યો છે તેમ, ફ્રીરેડિયસ સાથે કામ કરવા માટે મલ્ટિઓટીપી પહેલેથી જ ગોઠવેલ છે, જે બાકી છે તે પરીક્ષણો ચલાવવાનું છે અને ફ્રીરેડિયસ રૂપરેખાંકન ફાઇલમાં અમારા VPN ગેટવે વિશેની માહિતી ઉમેરવાનું છે.

અમે સર્વર કન્સોલ પર, ડિરેક્ટરીમાં પાછા આવીએ છીએ /usr/local/bin/multiotp/, દાખલ કરો:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

વધુ વિગતવાર લોગીંગ સહિત.

FreeRADIUS ક્લાયન્ટ્સ રૂપરેખાંકન ફાઇલમાં (/etc/freeradius/clinets.conf) થી સંબંધિત બધી લાઇન ટિપ્પણી કરો લોકલહોસ્ટ અને બે એન્ટ્રીઓ ઉમેરો:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- પરીક્ષણ માટે

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- અમારા VPN ગેટવે માટે.

FreeRADIUS પુનઃપ્રારંભ કરો અને લોગ ઇન કરવાનો પ્રયાસ કરો:

radtest username 100110 localhost 1812 testing321

જ્યાં વપરાશકર્તા નામ = વપરાશકર્તા નામ, 100110 = ફોન પર એપ્લિકેશન દ્વારા અમને આપવામાં આવેલ પાસવર્ડ, લોકલહોસ્ટ = RADIUS સર્વર સરનામું, 1812 - રેડિયસ સર્વર પોર્ટ, પરીક્ષણ 321 — RADIUS સર્વર ક્લાયંટ પાસવર્ડ (જે અમે રૂપરેખામાં સ્પષ્ટ કર્યો છે).

આ આદેશનું પરિણામ લગભગ નીચે મુજબ આઉટપુટ હશે:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

હવે આપણે ખાતરી કરવાની જરૂર છે કે વપરાશકર્તા સફળતાપૂર્વક પ્રમાણિત છે. આ કરવા માટે, આપણે multiotp ના લોગને જ જોઈશું:

tail /var/log/multiotp/multiotp.log

અને જો છેલ્લી એન્ટ્રી છે:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

પછી બધું સારું થયું અને અમે પૂર્ણ કરી શકીએ

પગલું 5: Cisco ASA ગોઠવો
ચાલો સંમત થઈએ કે અમારી પાસે પહેલાથી જ SLL VPN દ્વારા ઍક્સેસ માટે રૂપરેખાંકિત જૂથ અને નીતિઓ છે, જે સક્રિય ડિરેક્ટરી સાથે જોડાણમાં ગોઠવેલ છે, અને અમારે આ પ્રોફાઇલ માટે બે-પરિબળ પ્રમાણીકરણ ઉમેરવાની જરૂર છે.

1. નવું AAA સર્વર જૂથ ઉમેરો:

2. અમારા મલ્ટીઓટીપી સર્વરને જૂથમાં ઉમેરો:

3. અમે સંપાદિત કરીએ છીએ કનેક્શન પ્રોફાઇલ, સક્રિય ડિરેક્ટરી સર્વર જૂથને મુખ્ય પ્રમાણીકરણ સર્વર તરીકે સેટ કરી રહ્યું છે:

4. ટેબમાં અદ્યતન -> પ્રમાણીકરણ અમે સક્રિય ડિરેક્ટરી સર્વર જૂથ પણ પસંદ કરીએ છીએ:

5. ટેબમાં અદ્યતન -> માધ્યમિક પ્રમાણીકરણ, બનાવેલ સર્વર જૂથ પસંદ કરો જેમાં મલ્ટીઓટીપી સર્વર નોંધાયેલ છે. નોંધ કરો કે સત્ર વપરાશકર્તાનામ પ્રાથમિક AAA સર્વર જૂથમાંથી વારસામાં મળેલ છે:

સેટિંગ્સ લાગુ કરો અને

પગલું 6, ઉર્ફે છેલ્લું
ચાલો તપાસ કરીએ કે SLL VPN માટે દ્વિ-પરિબળ પ્રમાણીકરણ કામ કરે છે કે કેમ:

વોઇલા! Cisco AnyConnect VPN ક્લાયંટ દ્વારા કનેક્ટ કરતી વખતે, તમને સેકન્ડ, વન-ટાઇમ પાસવર્ડ પણ પૂછવામાં આવશે.

હું આશા રાખું છું કે આ લેખ કોઈને મદદ કરશે, અને તે કોઈને આનો ઉપયોગ કેવી રીતે કરવો તે વિશે વિચારવા માટે ખોરાક આપશે, મફત OTP સર્વર, અન્ય કાર્યો માટે. જો તમે ઈચ્છો તો ટિપ્પણીઓમાં શેર કરો.

સોર્સ: www.habr.com