Իսկ եթե երկգործոն նույնականացումը և՛ ցանկալի է, և՛ փշոտ, բայց ապարատային ժետոնների համար գումար չկա, և ընդհանրապես նրանք առաջարկում են մնալ լավ տրամադրությամբ։
Այս լուծումը սուպեր օրիգինալ բան չէ, այլ ավելի շուտ համացանցում հայտնաբերված տարբեր լուծումների խառնուրդ:
Այսպիսով տրված
Դոմենների անունը Active Directory.
Դոմենի օգտագործողներ, որոնք աշխատում են VPN-ի միջոցով, ինչպես այսօր շատերը.
Գործում է որպես VPN դարպաս Ամրացնել.
VPN հաճախորդի համար գաղտնաբառի պահպանումն արգելված է անվտանգության քաղաքականության կողմից:
Քաղաքականություն Fortinet- ը Ինչ վերաբերում է ձեր սեփական նշաններին, դուք չեք կարող դա անվանել ավելի քիչ, քան zhlob - կան մինչև 10 անվճար նշաններ, մնացածը ՝ շատ ոչ կոշեր գնով: Ես չեմ դիտարկել RSASecureID-ը, Duo-ն և նմանատիպերը, քանի որ ես ուզում եմ բաց կոդ:
Նախադրյալներ. հյուրընկալող * nix տեղադրված ազատ շառավիղ, սսսդ - մուտքագրված տիրույթում, տիրույթի օգտվողները կարող են հեշտությամբ նույնականացնել դրա վրա:
Լրացուցիչ փաթեթներ. shellina տուփ, թուզ, freeradius-ldap, տառատեսակ ապստամբ.tlf պահոցից
Իմ օրինակում՝ CentOS 7.8:
Ենթադրվում է, որ աշխատանքի տրամաբանությունը հետևյալն է՝ VPN-ին միանալիս օգտատերը գաղտնաբառի փոխարեն պետք է մուտքագրի տիրույթի մուտք և OTP։
Ծառայությունների կարգավորում
В /etc/raddb/radiusd.conf միայն օգտվողը և խումբը, որոնց անունից սկսվում է ազատ շառավիղ, ծառայությունից ի վեր շառավիղ պետք է կարողանա կարդալ ֆայլերը բոլոր ենթագրքերում /տուն/.
user = root
group = root
Կարգավորումներում խմբեր օգտագործելու համար Ամրացնել, պետք է փոխանցվի Վաճառողի հատուկ հատկանիշ. Դա անելու համար գրացուցակում raddb/policy.d Ես ստեղծում եմ ֆայլ հետևյալ բովանդակությամբ.
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
Տեղադրումից հետո freeradius-ldap գրացուցակում raddb/mods-available ֆայլը ստեղծվում է լադապ.
Պետք է ստեղծել խորհրդանշական հղում դեպի գրացուցակ raddb/mods-միացված.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
Ես բերում եմ դրա բովանդակությունը այս ձևով.
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
Ֆայլերում raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel հատվածում թույլտվություն տալ Ես ավելացնում եմ օգտագործվող քաղաքականության անվանումը՝ group_authorization: Կարևոր կետ. քաղաքականության անվանումը չի որոշվում գրացուցակում գտնվող ֆայլի անունով քաղաքականություն.դ, բայց հրահանգով ֆայլի ներսում՝ գանգուր փակագծերից առաջ:
Բաժնում վավերացնել նույն ֆայլերում դուք պետք է ապամեկնաբանեք տողը pam.
Ֆայլում clients.conf սահմանել այն պարամետրերը, որոնց հետ այն կապվելու է Ամրացնել:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
Մոդուլի կազմաձևում pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
Լռելյայն փաթեթի իրականացման ընտրանքներ ազատ շառավիղ с Google- ի վավերացուցիչ օգտագործողից պահանջել մուտքագրել հավատարմագրերը հետևյալ ձևաչափով. օգտվողի անուն/գաղտնաբառ+OTP- ն.
Պատկերացնելով անեծքների քանակը, որոնք կհասնեն գլխին, լռելյայն կապոց օգտագործելու դեպքում ազատ շառավիղ с Google Authenticator- ը, որոշվեց օգտագործել մոդուլի կոնֆիգուրացիան pam որպեսզի ստուգվի միայն նշանը Google Authenticator- ը.
Երբ օգտվողը միանում է, տեղի է ունենում հետևյալը.
- Freeradius-ը ստուգում է, արդյոք օգտագործողը գտնվում է տիրույթում և որոշակի խմբում, և հաջողության դեպքում ստուգում է OTP նշանը:
Ամեն ինչ բավականին լավ էր թվում մինչև այն պահը, երբ ես մտածեցի «Ինչպե՞ս կարող եմ գրանցել OTP 300+ օգտվողների համար»:
Օգտագործողը պետք է մուտք գործի սերվեր ազատ շառավիղ և ձեր հաշվի տակից և գործարկեք հավելվածը Google իսկորոշիչ, որը օգտատիրոջ համար կստեղծի QR կոդ հավելվածի համար: Ահա թե որտեղ է գալիս օգնությունը: shellina տուփ հետ համատեղ .բաշ_պրոֆիլ.
[root@freeradius ~]# yum install -y shellinabox
Դեյմոնի կազմաձևման ֆայլը գտնվում է /etc/sysconfig/shellinabox.
Ես այնտեղ նշում եմ 443 նավահանգիստը, և դուք կարող եք նշել ձեր վկայականը:
[root@freeradius ~]#systemctl enable --now shellinaboxd
Օգտատիրոջը միայն անհրաժեշտ է հետևել հղմանը, մուտքագրել տիրույթի վարկեր և ստանալ QR կոդ հավելվածի համար:
Ալգորիթմը հետևյալն է.
- Օգտագործողը մուտք է գործում սարք բրաուզերի միջոցով:
- Արդյոք տիրույթի օգտվողը ստուգված է: Եթե ոչ, ապա ոչ մի քայլ չի ձեռնարկվում։
- Եթե օգտատերը դոմենի օգտատեր է, ապա Ադմինիստրատորների խմբին անդամակցությունը ստուգվում է:
- Եթե ոչ ադմինիստրատոր, այն ստուգում է՝ արդյոք Google Authenticator-ը կազմաձևված է: Եթե ոչ, ապա ստեղծվում է QR կոդ և օգտատիրոջ դուրս գալը:
- Եթե ոչ ադմինիստրատոր, և Google Authenticator-ը կազմաձևված է, ապա պարզապես դուրս եկեք:
- Եթե ադմինիստրատոր, ապա նորից ստուգեք Google Authenticator-ը: Եթե կազմաձևված չէ, ստեղծվում է QR կոդ:
Ամբողջ տրամաբանությունը կատարվում է օգտագործելով /etc/skel/.bash_profile.
կատու /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
Fortigate կարգավորում.
- Մենք ստեղծում ենք շառավիղ- սերվեր
- Մենք ստեղծում ենք անհրաժեշտ խմբեր, անհրաժեշտության դեպքում՝ խմբերով մուտքի վերահսկում։ Խմբի անունը միացված է Ամրացնել պետք է համապատասխանի խմբին, որը անցած է Վաճառողի հատուկ հատկանիշ Fortinet-Group-Name.
- Խմբագրելով անհրաժեշտը SSL- պորտալներ.
- Խմբերի ավելացում քաղաքականության մեջ:
Այս լուծման առավելությունները.
- Հնարավոր է նույնականացում OTP-ի միջոցով Ամրացնել բաց կոդով լուծում.
- VPN-ի միջոցով միանալիս օգտատերը դոմենի գաղտնաբառ չի մուտքագրում, ինչն ինչ-որ չափով հեշտացնում է կապի գործընթացը։ 6 նիշանոց գաղտնաբառն ավելի հեշտ է մուտքագրել, քան անվտանգության քաղաքականության կողմից նախատեսվածը: Արդյունքում՝ «Ես չեմ կարող միանալ VPN-ին» թեմայով տոմսերի քանակը նվազում է։
Հ.Գ. Մենք նախատեսում ենք թարմացնել այս լուծումը լիարժեք երկգործոն նույնականացման՝ մարտահրավեր-պատասխանով:
Թարմացնել:
Ինչպես խոստացել էի, ես այն ուղղեցի մարտահրավեր-պատասխան տարբերակին:
So.
Ֆայլում /etc/raddb/sites-enabled/default Բաժին թույլտվություն տալ կարծես սա:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
Բաժին վավերացնել այժմ այսպիսի տեսք ունի.
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
Այժմ օգտագործողի ստուգումը տեղի է ունենում հետևյալ ալգորիթմի համաձայն.
- Օգտագործողը մուտքագրում է տիրույթի վարկեր VPN հաճախորդում:
- Freeradius-ը ստուգում է հաշվի և գաղտնաբառի վավերականությունը
- Եթե գաղտնաբառը ճիշտ է, ապա նշանի հարցում է ուղարկվում:
- Նշանը ստուգվում է:
- շահույթ):
Source: www.habr.com