LinOTP दो-कारक प्रमाणीकरण सर्वर

आज मैं साझा करना चाहता हूं कि कॉर्पोरेट नेटवर्क, साइटों, सेवाओं, एसएसएच की सुरक्षा के लिए दो-कारक प्रमाणीकरण सर्वर कैसे स्थापित किया जाए। सर्वर निम्नलिखित संयोजन चलाएगा: LinOTP + FreeRadius।

हमें इसकी जरूरत क्यों है?
यह पूरी तरह से मुफ़्त, सुविधाजनक समाधान है, अपने नेटवर्क के भीतर, तीसरे पक्ष के प्रदाताओं से स्वतंत्र।

यह सेवा अन्य ओपन सोर्स उत्पादों के विपरीत बहुत सुविधाजनक, काफी दृश्यमान है, और बड़ी संख्या में कार्यों और नीतियों का भी समर्थन करती है (उदाहरण के लिए, लॉगिन + पासवर्ड + (पिन + ओटीपीटोकन))। एपीआई के माध्यम से, यह एसएमएस भेजने वाली सेवाओं (लिनओटीपी कॉन्फिग->प्रदाता कॉन्फिग->एसएमएस प्रदाता) के साथ एकीकृत होता है, Google प्रमाणक जैसे मोबाइल एप्लिकेशन और बहुत कुछ के लिए कोड उत्पन्न करता है। मुझे लगता है कि यह चर्चा की गई सेवा से अधिक सुविधाजनक है लेख.

यह सर्वर सिस्को एएसए, ओपनवीपीएन सर्वर, अपाचे2 और सामान्य तौर पर लगभग हर चीज के साथ काम करता है जो रेडियस सर्वर के माध्यम से प्रमाणीकरण का समर्थन करता है (उदाहरण के लिए, डेटा सेंटर में एसएसएच के लिए)।

आवश्यक है:

1) डेबियन 8 (जेसी) - आवश्यक! (डेबियन 9 पर परीक्षण स्थापना लेख के अंत में वर्णित है)

घर:

डेबियन 8 स्थापित करना।

LinOTP रिपॉजिटरी जोड़ें:

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

कुंजियाँ जोड़ना:

# gpg --search-keys 913DFF12F86258E5

कभी-कभी "क्लीन" इंस्टॉलेशन के दौरान, इस कमांड को चलाने के बाद, डेबियन प्रदर्शित करता है:

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

यह प्रारंभिक gnupg सेटअप है. कोई बात नहीं। बस कमांड फिर से चलाएँ।
डेबियन के प्रश्न पर:

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

हम उत्तर देते हैं: 1

अगला:

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

MySQL इंस्टॉल करें. सिद्धांत रूप में, आप किसी अन्य sql सर्वर का उपयोग कर सकते हैं, लेकिन सरलता के लिए मैं इसे LinOTP के लिए अनुशंसित अनुसार उपयोग करूँगा।

(लिनओटीपी डेटाबेस को पुन: कॉन्फ़िगर करने सहित अतिरिक्त जानकारी, आधिकारिक दस्तावेज़ में पाई जा सकती है लिंक. वहां आप कमांड भी पा सकते हैं: यदि आपने पहले से ही MySQL इंस्टॉल किया है तो पैरामीटर बदलने के लिए dpkg-reconfigure linotp)।

# apt-get install mysql-server

# apt-get update

(अपडेट को दोबारा जांचने में कोई दिक्कत नहीं होगी)
LinOTP और अतिरिक्त मॉड्यूल स्थापित करें:

# apt-get install linotp

हम इंस्टॉलर के प्रश्नों का उत्तर देते हैं:
Apache2 का उपयोग करें: हाँ
व्यवस्थापक लिनोटप के लिए एक पासवर्ड बनाएं: "आपका पासवर्ड"
स्व-हस्ताक्षरित प्रमाणपत्र जनरेट करें?: हाँ
MySQL का उपयोग करें?: हाँ
डेटाबेस कहाँ स्थित है: लोकलहोस्ट
सर्वर पर एक LinOTP डेटाबेस (आधार नाम) बनाएं: LinOTP2
डेटाबेस के लिए एक अलग उपयोगकर्ता बनाएं: LinOTP2
हमने उपयोगकर्ता के लिए एक पासवर्ड सेट किया है: "आपका पासवर्ड"
क्या मुझे अब एक डेटाबेस बनाना चाहिए? (कुछ इस तरह कि "क्या आप निश्चित हैं कि आप चाहते हैं..."): हाँ
MySQL रूट पासवर्ड दर्ज करें जो आपने इसे इंस्टॉल करते समय बनाया था: "आपका पासवर्ड"
हो गया।

(वैकल्पिक, आपको इसे इंस्टॉल करने की आवश्यकता नहीं है)

# apt-get install linotp-adminclient-cli 

(वैकल्पिक, आपको इसे इंस्टॉल करने की आवश्यकता नहीं है)

# apt-get install libpam-linotp  

और इसलिए हमारा लिनोटीपी वेब इंटरफ़ेस अब यहां उपलब्ध है:

"<b>https</b>: //IP_сервера/manage"

मैं वेब इंटरफ़ेस में सेटिंग्स के बारे में थोड़ी देर बाद बात करूंगा।

अब, सबसे महत्वपूर्ण बात! हम FreeRadius को बढ़ाते हैं और इसे Linotp से जोड़ते हैं।

LinOTP के साथ काम करने के लिए FreeRadius और मॉड्यूल स्थापित करें

# apt-get install freeradius linotp-freeradius-perl

क्लाइंट और उपयोगकर्ता त्रिज्या कॉन्फ़िगरेशन का बैकअप लें।

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

एक खाली क्लाइंट फ़ाइल बनाएँ:

# touch /etc/freeradius/clients.conf

हमारी नई कॉन्फ़िगरेशन फ़ाइल को संपादित करना (बैक अप कॉन्फ़िगरेशन को उदाहरण के रूप में उपयोग किया जा सकता है)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

इसके बाद, एक उपयोगकर्ता फ़ाइल बनाएं:

# touch /etc/freeradius/users

हम फ़ाइल को संपादित करते हैं, त्रिज्या बताते हुए कि हम प्रमाणीकरण के लिए पर्ल का उपयोग करेंगे।

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

इसके बाद, फ़ाइल को संपादित करें /etc/freeradius/modules/perl

# nano /etc/freeradius/modules/perl

हमें मॉड्यूल पैरामीटर में पर्ल लाइनोटीपी स्क्रिप्ट का पथ निर्दिष्ट करने की आवश्यकता है:

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

... ..
इसके बाद, हम एक फ़ाइल बनाते हैं जिसमें हम बताते हैं कि किस (डोमेन, डेटाबेस या फ़ाइल) से डेटा लेना है।

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

मैं यहां थोड़ा और विस्तार में जाऊंगा क्योंकि यह महत्वपूर्ण है:

टिप्पणियों के साथ फ़ाइल का पूरा विवरण:
LinOTP सर्वर का #IP (हमारे LinOTP सर्वर का IP पता)
यूआरएल=https://172.17.14.103/validate/simplecheck
#हमारा क्षेत्र जिसे हम LinOTP वेब इंटरफ़ेस में बनाएंगे।)
REALM=रियर1
#लिनओटीपी वेब मज़ल में बनाए गए उपयोगकर्ता समूह का नाम।
RESCONF=flat_file
#वैकल्पिक: यदि सब कुछ ठीक काम करता प्रतीत हो तो टिप्पणी करें
डीबग = सत्य
#वैकल्पिक: यदि आपके पास स्व-हस्ताक्षरित प्रमाणपत्र हैं तो इसका उपयोग करें, अन्यथा टिप्पणी करें (एसएसएल यदि हम अपना स्वयं का प्रमाणपत्र बनाते हैं और इसे सत्यापित करना चाहते हैं)
SSL_CHECK=गलत

इसके बाद, फ़ाइल बनाएं /etc/freeradius/sites-available/linotp

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

और इसमें कॉन्फ़िगरेशन को कॉपी करें (कुछ भी संपादित करने की आवश्यकता नहीं है):

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

आगे हम एक सिम लिंक बनाएंगे:

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

व्यक्तिगत रूप से, मैं डिफ़ॉल्ट रेडियस साइटों को समाप्त कर देता हूं, लेकिन यदि आपको उनकी आवश्यकता है, तो आप या तो उनकी कॉन्फ़िगरेशन को संपादित कर सकते हैं या उन्हें अक्षम कर सकते हैं।

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

अब आइए वेब फेस पर वापस आएं और इसे थोड़ा और विस्तार से देखें:
ऊपरी दाएं कोने में LinOTP कॉन्फ़िग -> UserIdResolvers -> नया पर क्लिक करें
हम वही चुनते हैं जो हम चाहते हैं: एलडीएपी (एडी विन, एलडीएपी सांबा), या एसक्यूएल, या फ्लैटफाइल सिस्टम के स्थानीय उपयोगकर्ता।

आवश्यक फ़ील्ड भरें.

आगे हम REALMS बनाते हैं:
ऊपरी दाएं कोने में, LinOTP कॉन्फिग -> क्षेत्र -> नया पर क्लिक करें।
और हमारे REALMS को एक नाम दें, और पहले से बनाए गए UserIdResolvers पर भी क्लिक करें।

FreeRadius को यह सारा डेटा /etc/linotp2/rlm_perl.ini फ़ाइल में चाहिए, जैसा कि मैंने ऊपर लिखा है, इसलिए यदि आपने इसे तब संपादित नहीं किया था, तो अभी करें।

सर्वर सब कॉन्फ़िगर है.

अनुपूरक:

डेबियन 9 पर LinOTP की स्थापना:

Установка:

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list 

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(डिफ़ॉल्ट रूप से, डेबियन 9 में MySQL (mariaDB) रूट पासवर्ड सेट करने की पेशकश नहीं करता है, बेशक आप इसे खाली छोड़ सकते हैं, लेकिन यदि आप समाचार पढ़ते हैं, तो यह अक्सर "महाकाव्य विफल" की ओर ले जाता है, इसलिए हम इसे सेट करेंगे फिर भी)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

कोड चिपकाएँ (JuriM द्वारा भेजा गया, इसके लिए उसे धन्यवाद!):

सर्वर लाइनोटीपी {
सुनना {
ipaddr = *
पोर्ट = 1812
टाइप=ऑथ
}
सुनना {
ipaddr = *
पोर्ट = 1813
प्रकार = खाता
}
अधिकृत करें {
पूर्व प्रक्रिया
अद्यतन {
&नियंत्रण:प्रामाणिक-प्रकार:= पर्ल
}
}
प्रमाणित करें {
प्रामाणिक-प्रकार पर्ल {
पर्ल
}
}
लेखांकन {
यूनिक्स
}
}

संपादित करें /etc/freeradius/3.0/mods-enabled/perl

पर्ल {
फ़ाइल नाम = /usr/share/linotp/radius_linotp.pm
func_authenticate = प्रमाणित करें
func_authorize = अधिकृत करें
}

दुर्भाग्य से, डेबियन 9 में रेडियस_लिनोटपी.पीएम लाइब्रेरी रिपॉजिटरी से स्थापित नहीं है, इसलिए हम इसे जीथब से लेंगे।

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

अब /etc/freeradius/3.0/clients.conf को संपादित करते हैं

क्लाइंट सर्वर {
आईपैडडीआर = 192.168.188.0/24
रहस्य = आपका पासवर्ड
}

अब नैनो /etc/linotp2/rlm_perl.ini को सही करते हैं

हम वहां वही कोड चिपकाते हैं जो डेबियन 8 (ऊपर वर्णित) पर इंस्टॉल करते समय था।

यह सब विचार के अनुसार है। (अभी तक परीक्षण नहीं किया गया)

मैं सिस्टम स्थापित करने पर कुछ लिंक नीचे छोड़ूंगा जिन्हें अक्सर दो-कारक प्रमाणीकरण के साथ संरक्षित करने की आवश्यकता होती है:
में दो-कारक प्रमाणीकरण स्थापित करना Apache2

सिस्को एएसए के साथ सेटअप(वहां एक अलग टोकन जेनरेशन सर्वर का उपयोग किया जाता है, लेकिन एएसए की सेटिंग्स स्वयं समान हैं)।

दो-कारक प्रमाणीकरण वाला वीपीएन

समायोजन एसएसएच में दो कारक प्रमाणीकरण (लिनओटीपी का उपयोग वहां भी किया जाता है) - लेखक को धन्यवाद। वहां आप LiOTP नीतियां स्थापित करने के बारे में दिलचस्प बातें भी पा सकते हैं।

इसके अलावा, कई साइटों के सीएमएस दो-कारक प्रमाणीकरण का समर्थन करते हैं (वर्डप्रेस के लिए, लिनओटीपी के पास इसके लिए अपना विशेष मॉड्यूल भी है) GitHub), उदाहरण के लिए, यदि आप कंपनी के कर्मचारियों के लिए अपनी कॉर्पोरेट वेबसाइट पर एक संरक्षित अनुभाग बनाना चाहते हैं।
महत्वपूर्ण तथ्य! Google प्रमाणक का उपयोग करने के लिए "Google प्रमाणक" बॉक्स को चेक न करें! QR कोड तब पढ़ने योग्य नहीं है... (अजीब तथ्य)

इस लेख को लिखने के लिए निम्नलिखित लेखों की जानकारी का उपयोग किया गया:
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

लेखकों को धन्यवाद।

स्रोत: www.habr.com