2FA (ASA SSL VPN の XNUMX 要素認証) に移動します。

組織内の特定のサーバーにアクセスする必要があるのがユーザーであるかパートナーであるかに関係なく、企業環境へのリモート アクセスを提供する必要性がますます高まっています。

これらの目的で、ほとんどの企業は VPN テクノロジーを使用しています。VPN テクノロジーは、組織のローカル リソースへのアクセスを提供する確実に保護された方法であることが証明されています。

私の会社も例外ではなく、他の多くの会社と同様にこのテクノロジーを使用しています。 また、他の多くの企業と同様に、リモート アクセス ゲートウェイとして Cisco ASA 55xx を使用しています。

リモート ユーザーの数が増加するにつれて、資格情報の発行手順を簡素化する必要があります。 しかし同時に、これは安全性を損なうことなく行われなければなりません。

私たちは、Cisco SSL VPN 経由での接続にワンタイム パスワードを使用する XNUMX 要素認証を使用するという解決策を見つけました。 この出版物では、必要なソフトウェアのコストを最小限に抑えて、そのようなソリューションを構築する方法を説明します（インフラストラクチャに Cisco ASA がすでに存在している場合）。

市場には、ワンタイム パスワードを生成するためのパッケージ化されたソリューションが豊富にありますが、SMS 経由でパスワードを送信したり、ハードウェアとソフトウェア (携帯電話など) の両方でトークンを使用したりするなど、ワンタイム パスワードを取得するためのオプションも多数提供されています。 しかし、現在の危機において、お金を節約したいという欲求と、雇用主のためにお金を節約したいという欲求から、ワンタイム パスワードを生成するサービスを無料で実装する方法を見つける必要がありました。 これは無料ではありますが、商用ソリューションとそれほど劣るものではありません (ここで予約する必要があります。この製品には商用バージョンもあることに注意してください。ただし、金銭的なコストはゼロであることに同意しました)。

そのため、次のものが必要です。

- Web 経由でサーバーにアクセスするためのツールのセット (multiOTP、FreeRADIUS、nginx) が組み込まれた Linux イメージ (http://download.multiotp.net/ - VMware 用の既製のイメージを使用しました)
— Active Directory サーバー
— Cisco ASA 自体（便宜上、ASDM を使用します）
— TOTP メカニズムをサポートするソフトウェア トークン (たとえば、私は Google Authenticator を使用していますが、同じ FreeOTP でも使用できます)

画像がどのように展開されるかについては詳しく説明しません。 その結果、multiOTP と FreeRADIUS がすでにインストールされ、連携して動作するように設定された Debian Linux、および OTP 管理用の Web インターフェイスを受け取ることになります。

ステップ 1. システムを開始し、ネットワークに合わせて構成します
デフォルトでは、システムには root の資格情報が付属しています。 最初のログイン後に root ユーザーのパスワードを変更するのが得策であることは誰もが推測したと思います。 ネットワーク設定も変更する必要があります (デフォルトでは、ゲートウェイが「192.168.1.44」の「192.168.1.1」です)。 その後、システムを再起動できます。

Active Directory にユーザーを作成しましょう otp、パスワード付き 私のスーパーパスワード.

ステップ 2. 接続をセットアップし、Active Directory ユーザーをインポートする
これを行うには、コンソールにアクセスし、ファイルに直接アクセスする必要があります。 マルチOTP.php, これを使用して、Active Directory への接続設定を構成します。

ディレクトリに移動 /usr/local/bin/multiotp/ そして、次のコマンドを順番に実行します。

./multiotp.php -config default-request-prefix-pin=0

ワンタイム PIN (0 または 1) を入力するときに追加の (永続的な) PIN が必要かどうかを決定します。

./multiotp.php -config default-request-ldap-pwd=0

ワンタイム PIN (0 または 1) を入力するときにドメイン パスワードが必要かどうかを決定します。

./multiotp.php -config ldap-server-type=1

LDAP サーバーのタイプが示されます (0 = 通常の LDAP サーバー、この場合は 1 = Active Directory)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

ユーザー名を表示する形式を指定します (この値はドメインを含まずに名前のみを表示します)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

同じこと、グループのみ

./multiotp.php -config ldap-group-attribute="memberOf"

ユーザーがグループに属しているかどうかを判断する方法を指定します

./multiotp.php -config ldap-ssl=1

LDAP サーバーへの安全な接続を使用する必要がありますか (もちろん、はい!)

./multiotp.php -config ldap-port=636

LDAPサーバーに接続するためのポート

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

Active Directory サーバーのアドレス

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

ドメイン内のユーザーの検索をどこから開始するかを示します

./multiotp.php -config ldap-bind-dn="[email protected]"

Active Directory で検索権限を持つユーザーを指定します

./multiotp.php -config ldap-server-password="MySuperPassword"

Active Directoryに接続するためのユーザーパスワードを指定します。

./multiotp.php -config ldap-network-timeout=10

Active Directory への接続のタイムアウトの設定

./multiotp.php -config ldap-time-limit=30

ユーザーのインポート操作には時間制限を設定しています

./multiotp.php -config ldap-activated=1

Active Directory 接続構成のアクティブ化

./multiotp.php -debug -display-log -ldap-users-sync

Active Directory からユーザーをインポートします

ステップ 3. トークンの QR コードを生成する
ここにあるものはすべて非常にシンプルです。 ブラウザで OTP サーバーの Web インターフェイスを開き、ログインし (管理者のデフォルトのパスワードを変更することを忘れないでください)、[印刷] ボタンをクリックします。

このアクションの結果は、2 つの QR コードを含むページになります。 最初のコードは大胆にも無視し (Google Authenticator / Authenticator / XNUMX Steps Authenticator という魅力的な表記にもかかわらず)、再び大胆に XNUMX 番目のコードを携帯電話上のソフトウェア トークンにスキャンします。

（はい、QRコードを意図的に壊して読めなくしました）。

これらのアクションを完了すると、アプリケーションで XNUMX 秒ごとに XNUMX 桁のパスワードが生成され始めます。

確かに、同じインターフェイスで確認できます。

携帯電話のアプリケーションからユーザー名とワンタイムパスワードを入力します。 肯定的な反応は得られましたか? それでは次に進みます。

ステップ 4. FreeRADIUS 動作の追加構成とテスト
上で述べたように、multiOTP はすでに FreeRADIUS で動作するように設定されています。残っているのは、テストを実行して、VPN ゲートウェイに関する情報を FreeRADIUS 設定ファイルに追加することだけです。

サーバーコンソールのディレクトリに戻ります。 /usr/local/bin/multiotp/、 入力：

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

より詳細なログ記録が含まれます。

FreeRADIUS クライアント構成ファイル (/etc/freeradius/clinets.conf) に関連するすべての行をコメントアウトします。 ローカルホスト そして XNUMX つのエントリを追加します。

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- テスト用

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

— VPN ゲートウェイ用。

FreeRADIUS を再起動し、ログインしてみます。

radtest username 100110 localhost 1812 testing321

どこ ユーザ名 = ユーザー名、 100110 = 電話のアプリケーションによって与えられたパスワード、 ローカルホスト = RADIUS サーバーのアドレス、 1812 — RADIUSサーバーポート、 testing321 — RADIUS サーバークライアントのパスワード (設定で指定したもの)。

このコマンドの結果は次のように出力されます。

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

次に、ユーザーが正常に認証されたことを確認する必要があります。 これを行うには、multiotp 自体のログを確認します。

tail /var/log/multiotp/multiotp.log

そして、最後のエントリがある場合:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

その後、すべてがうまくいき、完了することができます

ステップ 5: Cisco ASA を構成する
SLL VPN 経由でアクセスするためのグループとポリシーがすでに構成されており、Active Directory と連携して構成されており、このプロファイルに XNUMX 要素認証を追加する必要があることに同意しましょう。

1. 新しい AAA サーバ グループを追加します。

2. multiOTP サーバーをグループに追加します。

3. 編集します 接続プロファイル、Active Directory サーバー グループをメイン認証サーバーとして設定します。

4. タブ 詳細 -> 認証 Active Directory サーバー グループも選択します。

5. タブ 上級 -> 二次 認証を行う場合は、作成したマルチOTPサーバーが登録されているサーバーグループを選択します。 セッション ユーザ名はプライマリ AAA サーバ グループから継承されることに注意してください。

設定を適用して、

ステップ 6、別名最後のステップ
SLL VPN で XNUMX 要素認証が機能するかどうかを確認してみましょう。

出来上がり！ Cisco AnyConnect VPN Client 経由で接続する場合は、XNUMX 番目のワンタイム パスワードも求められます。

この記事が誰かに役立ち、これをどのように使用するかを考える材料になれば幸いです。 無料 OTP サーバー (他のタスク用)。 必要に応じてコメントで共有してください。

出所： habr.com