Freeradius + Google Authenticator + LDAP + Fortigate

מה אם אימות דו-גורמי הוא גם רצוי וגם עוקצני, אבל אין כסף לאסימוני חומרה ובאופן כללי הם מציעים להישאר במצב רוח טוב.

הפתרון הזה הוא לא משהו סופר מקורי, אלא שילוב של פתרונות שונים שנמצאים באינטרנט.

כל כך נתון

Домен של Active Directory.

משתמשי דומיין שעובדים באמצעות VPN, כמו רבים כיום.

פועל כשער VPN מזלזל.

שמירת הסיסמה עבור לקוח ה-VPN אסורה על פי מדיניות האבטחה.

פּוֹלִיטִיקָה פורטינט ביחס לאסימונים שלך, אתה לא יכול לקרוא לזה פחות מ-zhlob - יש עד 10 אסימונים בחינם, השאר - במחיר מאוד לא כשר. לא שקלתי RSASecureID, Duo וכדומה, כי אני רוצה קוד פתוח.

דרישות קדם: מארח * nix עם מבוסס freeradius, ssd - נכנס לדומיין, משתמשי הדומיין יכולים לבצע אימות בו בקלות.

חבילות נוספות: תיבת שלינה, פיגלט, freeradius-ldap, גופן rebel.tlf מהמאגר https://github.com/xero/figlet-fonts.

בדוגמה שלי - CentOS 7.8.

ההיגיון בעבודה אמור להיות כדלקמן: בעת חיבור ל-VPN, המשתמש חייב להזין כניסה לדומיין ו-OTP במקום סיסמה.

הגדרת שירותים

В /etc/raddb/radiusd.conf רק המשתמש והקבוצה מטעמם מתחילים freeradius, מאז השירות רדיוס אמור להיות מסוגל לקרוא קבצים בכל ספריות המשנה /בית/.

user = root
group = root

כדי להיות מסוגל להשתמש בקבוצות בהגדרות מזלזל, יש להעביר תכונה ספציפית לספק. כדי לעשות זאת, במדריך raddb/policy.d אני יוצר קובץ עם התוכן הבא:

group_authorization {
    if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
            update reply {
                &Fortinet-Group-Name = "vpn_admins" }
            update control {
                &Auth-Type := PAM
                &Reply-Message := "Welcome Admin"
                }
        }
    else {
        update reply {
        &Reply-Message := "Not authorized for vpn"
            }
        reject
        }
}

לאחר ההתקנה freeradius-ldap בספרייה raddb/mods-available הקובץ נוצר ldap.

עליך ליצור קישור סמלי לספרייה מופעלת raddb/mods.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

אני מציג את תוכנו כדלקמן:

ldap {
        server = 'domain.local'
        identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
        password = "SupeSecretP@ssword"
        base_dn = 'dc=domain,dc=local'
        sasl {
        }
        user {
                base_dn = "${..base_dn}"
                filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
                sasl {
                }
                scope = 'sub'
        }
        group {
                base_dn = "${..base_dn}"
                filter = '(objectClass=Group)'
                scope = 'sub'
                name_attribute = cn
                membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
                membership_attribute = 'memberOf'
        }
}

בקבצים raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel בסעיף לאשר אני מוסיף את שם המדיניות שבה יש להשתמש - group_authorization. נקודה חשובה - שם הפוליסה לא נקבע לפי שם הקובץ בספריה מדיניות.ד, אבל לפי הנחיה בתוך הקובץ לפני הפלטה המתולתלת.
בקטע לאמת באותם קבצים אתה צריך לבטל את ההערה לשורה פאם.

בקובץ clients.conf לרשום את הפרמטרים שאיתם הוא יתחבר מזלזל:

client fortigate {
    ipaddr = 192.168.1.200
    secret = testing123
    require_message_authenticator = no
    nas_type = other
}

תצורת מודול pam.d/radiusd:

#%PAM-1.0
auth       sufficient   pam_google_authenticator.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    include      password-auth

אפשרויות יישום חבילות ברירת מחדל freeradius с מאמת של לדרוש מהמשתמש להזין אישורים בפורמט: שם משתמש סיסמא+OTP.

על ידי דימיון מספר הקללות שייפלו על הראש, במקרה של שימוש בחבילת ברירת המחדל freeradius с מאמת Google, הוחלט להשתמש בתצורת המודול פאם כך שרק האסימון מסומן מאמת Google.

כאשר משתמש מתחבר, מתרחשים הדברים הבאים:

• Freeradius בודק אם המשתמש נמצא בדומיין ובקבוצה מסוימת, ואם מצליח, בודק את אסימון ה-OTP.

הכל נראה טוב מספיק עד לרגע שבו חשבתי "איך אני יכול לרשום OTP עבור 300+ משתמשים?"

המשתמש חייב להתחבר לשרת עם freeradius ומהחשבון שלך והפעל את האפליקציה מאמת גוגל, אשר יפיק קוד QR עבור האפליקציה עבור המשתמש. כאן נכנסת עזרה. תיבת שלינה בקומבינציה עם .bash_profile.

[root@freeradius ~]# yum install -y shellinabox

קובץ התצורה של הדמון נמצא ב /etc/sysconfig/shellinabox.
אני מציין שם יציאה 443 ואתה יכול לציין את האישור שלך.

[root@freeradius ~]#systemctl enable --now shellinaboxd

המשתמש צריך רק לעקוב אחר הקישור, להזין קרדיטים לדומיין ולקבל קוד QR עבור האפליקציה.

האלגוריתם הוא כדלקמן:

• המשתמש מתחבר למכונה באמצעות דפדפן.
• מסומן אם המשתמש הוא משתמש דומיין. אם לא, אז לא נעשה כל פעולה.
• אם המשתמש הוא משתמש בדומיין, החברות בקבוצת Administrators מסומנת.
• אם אינו מנהל, הוא בודק אם Google Authenticator מוגדר. אם לא, אז נוצר קוד QR והתנתק משתמש.
• אם לא מוגדר מנהל מערכת ו-Google Authenticator, פשוט התנתק.
• אם מנהל מערכת, בדוק שוב את Google Authenticator. אם לא מוגדר, נוצר קוד QR.

כל ההיגיון נעשה באמצעות /etc/skel/.bash_profile.

cat /etc/skel/.bash_profile

# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs
# Make several commands available from user shell

if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
  then
    [[ ! -d $HOME/bin ]] && mkdir $HOME/bin
    [[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
    [[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
    [[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
    [[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
    [[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
    [[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
  # Set PATH env to <home user directory>/bin
    PATH=$HOME/bin
    export PATH
  else
    PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
    export PATH
fi


if [[ -n $(id $USER | grep "domain users") ]]
  then
    if [[ ! -e $HOME/.google_authenticator ]]
      then
        if [[ -n $(id $USER | grep "admins") ]]
          then
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
          else
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password to VPN."
            logout
        fi
      else
        echo "You have already setup a Google Authenticator"
        if [[ -z $(id $USER | grep "admins") ]]
          then
          logout
        fi
    fi
  else
    echo "You don't need to set up a Google Authenticator"
fi

התקנה חזקה:

• אנחנו יוצרים רַדִיוּס-שרת

  

• אנו יוצרים את הקבוצות הדרושות, במידת הצורך, בקרת גישה לפי קבוצות. שם הקבוצה מופיע מזלזל חייב להתאים לקבוצה המועברת תכונה ספציפית לספק Fortinet-Group-Name.

  

• עריכת הדרוש SSL-פורטלים.

  

• הוספת קבוצות למדיניות.

  

היתרונות של פתרון זה:

• ניתן לבצע אימות באמצעות OTP מופעל מזלזל פתרון קוד פתוח.
• המשתמש אינו מזין סיסמת דומיין בעת ​​חיבור באמצעות VPN, מה שמפשט מעט את תהליך החיבור. קל יותר להזין את הסיסמה בת 6 הספרות מזו שמספקת מדיניות האבטחה. כתוצאה מכך, מספר הכרטיסים עם הנושא: "אני לא יכול להתחבר ל-VPN" יורד.

נ.ב. אנו מתכננים לשדרג את הפתרון הזה לאימות דו-גורמי מלא עם אתגר-תגובה.

עדכון:

כפי שהובטח, שיניתי אותו לאפשרות האתגר-תגובה.
אז:
בקובץ /etc/raddb/sites-enabled/default סָעִיף לאשר הוא כדלקמן:

authorize {
    filter_username
    preprocess
    auth_log
    chap
    mschap
    suffix
    eap {
        ok = return
    }
    files
    -sql
    #-ldap
    expiration
    logintime
    if (!State) {
        if (&User-Password) {
            # If !State and User-Password (PAP), then force LDAP:
            update control {
                Ldap-UserDN := "%{User-Name}"
                Auth-Type := LDAP
            }
        }
        else {
            reject
        }
    }
    else {
        # If State, then proxy request:
        group_authorization
    }
pap
}

מדור לאמת עכשיו נראה כך:

authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        # Attempt authentication with a direct LDAP bind:
        Auth-Type LDAP {
        ldap
        if (ok) {
            update reply {
                # Create a random State attribute:
                State := "%{randstr:aaaaaaaaaaaaaaaa}"
                Reply-Message := "Please enter OTP"
                }
            # Return Access-Challenge:
            challenge
            }
        }
        pam
        eap
}

כעת המשתמש מאומת באמצעות האלגוריתם הבא:

• המשתמש מזין זיכוי דומיין בלקוח ה-VPN.
• Freeradius בודק את תקפות החשבון והסיסמה
• אם הסיסמה נכונה, נשלחת בקשה לקבלת אסימון.
• האסימון מאומת.
• רווח).

מקור: www.habr.com