Što ako je dvofaktorska autentifikacija i poželjna i neugodna, ali nema novca za hardverske tokene i općenito se nudi da ostanete u dobrom raspoloženju.
Ovo rješenje nije nešto super originalno, već mješavina različitih rješenja pronađenih na internetu.
Tako dano
Naziv domene Active Directory.
Korisnici domene koji rade putem VPN-a, poput mnogih danas.
Djeluje kao VPN pristupnik Ojačati.
Spremanje lozinke za VPN klijenta zabranjeno je sigurnosnim pravilima.
Politika Fortinet u odnosu na vlastite tokene, ne možete ga nazvati manje od zhlob - postoji čak 10 besplatnih tokena, ostalo - po vrlo nekošer cijeni. RSASecureID, Duo i slično nisam razmatrao, jer želim open source.
Preduvjeti: domaćin * nix s utvrđenim freeradius, ssd - unesena u domenu, korisnici domene mogu se lako autentificirati na njoj.
Dodatni paketi: shellina kutija, fijuk, slobodni radijus-ldap, font buntovnik.tlf iz spremišta .
U mom primjeru - CentOS 7.8.
Logika rada bi trebala biti sljedeća: prilikom spajanja na VPN korisnik umjesto lozinke mora unijeti login domene i OTP.
Postavljanje usluga
В /etc/raddb/radiusd.conf samo korisnik i grupa u čije ime počinje freeradius, budući da je usluga radiusd trebao bi moći čitati datoteke u svim poddirektorijima /Dom/.
user = root
group = root
Da biste mogli koristiti grupe u postavkama Ojačati, mora se prenijeti Specifični atribut dobavljača. Da biste to učinili, u imeniku raddb/politika.d Stvaram datoteku sa sljedećim sadržajem:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
Nakon instalacije slobodni radijus-ldap u imeniku raddb/mods-dostupan datoteka je stvorena lDAP.
Potrebno je stvoriti simboličku vezu na imenik raddb/mods-omogućen.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapNjegov sadržaj donosim u ovaj obrazac:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
U datotekama raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel u odjeljku odobriti Dodajem naziv pravila koje će se koristiti - group_authorization. Važna točka - naziv pravila nije određen nazivom datoteke u direktoriju politika.d, ali direktivom unutar datoteke prije vitičastih zagrada.
U odjeljku ovjeriti u istim datotekama trebate odkomentirati redak Pam.
U spisu klijenti.konf propisati parametre s kojima će se spajati Ojačati:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
Konfiguracija modula pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
Zadane mogućnosti implementacije paketa freeradius с google autentifikator zahtijevaju od korisnika da unese vjerodajnice u formatu: korisničko ime Zaporka+OTP.
Zamišljanjem broja kletvi koje će pasti na glavu, u slučaju korištenja zadanog svežnja freeradius с Google Autentifikatora, odlučeno je koristiti konfiguraciju modula Pam tako da se može provjeriti samo token Google Autentifikatora.
Kada se korisnik poveže, događa se sljedeće:
- Freeradius provjerava postoji li korisnik u domeni iu određenoj grupi i, ako je uspješno, provjerava se OTP token.
Sve je izgledalo dovoljno dobro do trenutka kada sam pomislio "Kako mogu registrirati OTP za 300+ korisnika?"
Korisnik se mora prijaviti na poslužitelj s freeradius i ispod vašeg računa i pokrenite aplikaciju Googleov autentifikator, koji će za korisnika generirati QR kod za aplikaciju. Ovdje uskače pomoć. shellina kutija u kombinaciji sa .bash_profil.
[root@freeradius ~]# yum install -y shellinabox
Daemon konfiguracijska datoteka nalazi se na /etc/sysconfig/shellinabox.
Ja tamo navodim port 443, a vi možete navesti svoj certifikat.
[root@freeradius ~]#systemctl enable --now shellinaboxdKorisnik samo treba slijediti poveznicu, unijeti bodove domene i dobiti QR kod za aplikaciju.
Algoritam je sljedeći:
- Korisnik se prijavljuje na stroj putem preglednika.
- Provjerava li se korisnik domene. Ako nije, tada se ništa ne poduzima.
- Ako je korisnik korisnik domene, provjerava se članstvo u grupi Administratori.
- Ako nije administrator, provjerava je li Google Authenticator konfiguriran. Ako nije, tada se generira QR kod i odjava korisnika.
- Ako niste administrator i Google Authenticator je konfiguriran, samo se odjavite.
- Ako ste administrator, ponovno provjerite Google autentifikator. Ako nije konfigurirano, generira se QR kod.
Sva se logika izvodi pomoću /etc/skel/.bash_profile.
mačka /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
Fortigate postava:
- Mi stvaramo Radius-poslužitelj
- Stvaramo potrebne grupe, po potrebi kontrolu pristupa po grupama. Naziv grupe uključen Ojačati mora odgovarati grupi koja je proslijeđena Specifični atribut dobavljača Fortinet-Grupni naziv.
- Uređivanje potrebnog SSL-portali.
- Dodavanje grupa u pravila.
Prednosti ovog rješenja:
- Moguće je autentificirati OTP na Ojačati rješenje otvorenog koda.
- Prilikom spajanja putem VPN-a korisnik ne upisuje lozinku domene, što donekle pojednostavljuje proces povezivanja. 6-znamenkastu lozinku lakše je unijeti od one koju osigurava sigurnosna politika. Kao rezultat toga, smanjuje se broj tiketa s predmetom: "Ne mogu se spojiti na VPN".
PS Planiramo nadograditi ovo rješenje na potpunu dvofaktorsku autentifikaciju s izazovnim odgovorom.
Update:
Kao što sam obećao, prilagodio sam ga na opciju izazov-odgovor.
Dakle:
U spisu /etc/raddb/sites-enabled/default odjeljak odobriti je kako slijedi:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
Odjeljak ovjeriti sada izgleda ovako:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
Sada se provjera korisnika odvija prema sljedećem algoritmu:
- Korisnik unosi kredite domene u VPN klijent.
- Freeradius provjerava valjanost računa i lozinke
- Ako je lozinka točna, šalje se zahtjev za token.
- Token se provjerava.
- dobit).
Izvor: www.habr.com