Freeradius + Google Authenticator + LDAP + Fortigate

តើមានអ្វីកើតឡើងប្រសិនបើការផ្ទៀងផ្ទាត់កត្តាពីរគឺគួរឱ្យចង់បាន និងច្របូកច្របល់ ប៉ុន្តែមិនមានប្រាក់សម្រាប់ថូខឹនផ្នែករឹង ហើយជាទូទៅពួកគេផ្តល់ជូនដើម្បីរក្សាអារម្មណ៍ល្អ។

ដំណោះ​ស្រាយ​នេះ​មិន​មែន​ជា​អ្វី​ដែល​ដើម​ខ្ពស់​នោះ​ទេ ប៉ុន្តែ​ជា​ការ​លាយ​បញ្ចូល​គ្នា​នៃ​ដំណោះ​ស្រាយ​ផ្សេងៗ​ដែល​មាន​នៅ​លើ​អ៊ីនធឺណិត។

ផ្តល់ឱ្យដូច្នេះ

Домен Active Directory.

អ្នកប្រើប្រាស់ដែនដែលធ្វើការតាមរយៈ VPN ដូចជាមនុស្សជាច្រើនសព្វថ្ងៃនេះ។

ដើរតួជាច្រកទ្វារ VPN បន្ទាយ.

ការរក្សាទុកពាក្យសម្ងាត់សម្រាប់ម៉ាស៊ីនភ្ញៀវ VPN ត្រូវបានហាមឃាត់ដោយគោលការណ៍សុវត្ថិភាព។

នយោបាយ Fortinet ទាក់ទងទៅនឹងថូខឹនផ្ទាល់ខ្លួនរបស់អ្នក អ្នកមិនអាចហៅវាតិចជាង zhlob បានទេ - មាននិមិត្តសញ្ញាឥតគិតថ្លៃរហូតដល់ 10 នៅសល់ - ក្នុងតម្លៃដែលមិនមែនជាកូសឺរ។ ខ្ញុំមិនបានពិចារណា RSASecureID, Duo និងអ្វីផ្សេងទៀតទេ ព្រោះខ្ញុំចង់បានប្រភពបើកចំហ។

តម្រូវការជាមុន៖ ម្ចាស់ផ្ទះ * nix ជាមួយនឹងការបង្កើតឡើង សេរីរ៉ាឌីស, អេសអេសឌី - បញ្ចូលទៅក្នុង domain អ្នកប្រើប្រាស់ domain អាចផ្ទៀងផ្ទាត់បានយ៉ាងងាយស្រួលនៅលើវា។

កញ្ចប់បន្ថែម៖ ប្រអប់សែលលីណា, ផ្លែល្វា, សេរីរ៉ាឌីស-ldap, ពុម្ពអក្សរ rebel.tlf ពីឃ្លាំង https://github.com/xero/figlet-fonts.

នៅក្នុងឧទាហរណ៍របស់ខ្ញុំ - CentOS 7.8 ។

តក្កវិជ្ជានៃការងារត្រូវបានគេសន្មត់ថាមានដូចខាងក្រោម: នៅពេលភ្ជាប់ទៅ VPN អ្នកប្រើប្រាស់ត្រូវតែបញ្ចូលការចូលដែននិង OTP ជំនួសឱ្យពាក្យសម្ងាត់។

ការដំឡើងសេវាកម្ម

В /etc/raddb/radiusd.conf មានតែអ្នកប្រើប្រាស់ និងក្រុមក្នុងនាមដែលចាប់ផ្តើម សេរីរ៉ាឌីសចាប់តាំងពីសេវាកម្ម កាំ គួរតែអាចអានឯកសារនៅក្នុងថតរងទាំងអស់។ / home /.

user = root
group = root

ដើម្បីអាចប្រើក្រុមនៅក្នុងការកំណត់ បន្ទាយ, ត្រូវតែបញ្ជូន គុណលក្ខណៈជាក់លាក់របស់អ្នកលក់. ដើម្បីធ្វើដូចនេះនៅក្នុងថត raddb/policy.d ខ្ញុំបង្កើតឯកសារដែលមានខ្លឹមសារដូចខាងក្រោម៖

group_authorization {
    if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
            update reply {
                &Fortinet-Group-Name = "vpn_admins" }
            update control {
                &Auth-Type := PAM
                &Reply-Message := "Welcome Admin"
                }
        }
    else {
        update reply {
        &Reply-Message := "Not authorized for vpn"
            }
        reject
        }
}

បន្ទាប់ពីដំឡើងរួច សេរីរ៉ាឌីស-ldap នៅក្នុងថត raddb/mods-មាន ឯកសារត្រូវបានបង្កើត ឡាដាប់.

ត្រូវការបង្កើតតំណភ្ជាប់និមិត្តសញ្ញាទៅថត raddb/mods-បើកដំណើរការ.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

ខ្ញុំនាំយកខ្លឹមសាររបស់វាមកទម្រង់នេះ៖

ldap {
        server = 'domain.local'
        identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
        password = "SupeSecretP@ssword"
        base_dn = 'dc=domain,dc=local'
        sasl {
        }
        user {
                base_dn = "${..base_dn}"
                filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
                sasl {
                }
                scope = 'sub'
        }
        group {
                base_dn = "${..base_dn}"
                filter = '(objectClass=Group)'
                scope = 'sub'
                name_attribute = cn
                membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
                membership_attribute = 'memberOf'
        }
}

នៅក្នុងឯកសារ raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel នៅក្នុងផ្នែក ផ្តល់សិទ្ធិ ខ្ញុំបន្ថែមឈ្មោះគោលការណ៍ដែលត្រូវប្រើ - group_authorization ។ ចំណុចសំខាន់មួយ - ឈ្មោះនៃគោលការណ៍មិនត្រូវបានកំណត់ដោយឈ្មោះឯកសារនៅក្នុងថត គោលនយោបាយ ឃប៉ុន្តែដោយការណែនាំនៅខាងក្នុងឯកសារ មុនពេលដង្កៀបអង្កាញ់។
នៅក្នុងផ្នែក ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ក្នុង​ឯកសារ​ដដែល អ្នក​ត្រូវ​មិន​បញ្ចេញ​មតិ​លើ​បន្ទាត់ ផាំ.

នៅក្នុងឯកសារ clients.conf កំណត់ប៉ារ៉ាម៉ែត្រដែលវានឹងភ្ជាប់ បន្ទាយ:

client fortigate {
    ipaddr = 192.168.1.200
    secret = testing123
    require_message_authenticator = no
    nas_type = other
}

ការកំណត់រចនាសម្ព័ន្ធម៉ូឌុល pam.d/radiusd:

#%PAM-1.0
auth       sufficient   pam_google_authenticator.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    include      password-auth

ជម្រើសនៃការអនុវត្តកញ្ចប់លំនាំដើម សេរីរ៉ាឌីស с កម្មវិធីផ្ទៀងផ្ទាត់ហ្គូហ្គល តម្រូវឱ្យអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានសម្ងាត់ក្នុងទម្រង់៖ ឈ្មោះ​អ្នកប្រើប្រាស់​ពាក្យសម្ងាត់+OTP.

ដោយការស្រមៃមើលចំនួននៃបណ្តាសាដែលនឹងធ្លាក់លើក្បាល ក្នុងករណីប្រើបណ្តុំលំនាំដើម សេរីរ៉ាឌីស с Google Authenticatorវាត្រូវបានសម្រេចចិត្តប្រើការកំណត់រចនាសម្ព័ន្ធម៉ូឌុល ផាំ ដូច្នេះមានតែសញ្ញាសម្ងាត់ប៉ុណ្ណោះដែលអាចពិនិត្យបាន។ Google Authenticator.

ពេល​អ្នក​ប្រើ​បាន​ភ្ជាប់​ នោះ​នឹង​កើត​ឡើង​ដូច​ខាង​ក្រោម៖

• Freeradius ពិនិត្យមើលថាតើអ្នកប្រើប្រាស់នៅក្នុងដែន និងនៅក្នុងក្រុមជាក់លាក់មួយឬអត់ ហើយប្រសិនបើជោគជ័យ ពិនិត្យមើលសញ្ញាសម្ងាត់ OTP ។

អ្វីគ្រប់យ៉ាងមើលទៅល្អគ្រប់គ្រាន់រហូតដល់ពេលដែលខ្ញុំគិត "តើខ្ញុំអាចចុះឈ្មោះ OTP សម្រាប់អ្នកប្រើប្រាស់ 300+ យ៉ាងដូចម្តេច?"

អ្នកប្រើប្រាស់ត្រូវតែចូលទៅម៉ាស៊ីនមេជាមួយ សេរីរ៉ាឌីស និងពីក្រោមគណនីរបស់អ្នក ហើយដំណើរការកម្មវិធី កម្មវិធីផ្ទៀងផ្ទាត់របស់ Googleដែលនឹងបង្កើតកូដ QR សម្រាប់កម្មវិធីសម្រាប់អ្នកប្រើប្រាស់។ នេះគឺជាកន្លែងដែលជំនួយចូលមក។ ប្រអប់សែលលីណា នៅក្នុងការរួមបញ្ចូលគ្នាជាមួយ .bash_ ប្រវត្តិរូប.

[root@freeradius ~]# yum install -y shellinabox

ឯកសារកំណត់រចនាសម្ព័ន្ធដេមិនមានទីតាំងនៅ /etc/sysconfig/shellinabox.
ខ្ញុំបញ្ជាក់ច្រក 443 នៅទីនោះ ហើយអ្នកអាចបញ្ជាក់វិញ្ញាបនបត្ររបស់អ្នក។

[root@freeradius ~]#systemctl enable --now shellinaboxd

អ្នកប្រើប្រាស់គ្រាន់តែធ្វើតាមតំណ បញ្ចូលក្រេឌីតដែន និងទទួលបានលេខកូដ QR សម្រាប់កម្មវិធី។

ក្បួនដោះស្រាយមានដូចខាងក្រោម៖

• អ្នកប្រើប្រាស់ចូលម៉ាស៊ីនតាមរយៈកម្មវិធីរុករក។
• ថាតើអ្នកប្រើប្រាស់ដែនត្រូវបានពិនិត្យឬអត់។ បើ​មិន​ដូច្នេះ​ទេ នោះ​គ្មាន​ចំណាត់ការ​ទេ។
• ប្រសិនបើអ្នកប្រើជាអ្នកប្រើប្រាស់ដែន សមាជិកភាពនៅក្នុងក្រុមអ្នកគ្រប់គ្រងត្រូវបានពិនិត្យ។
• ប្រសិនបើមិនមែនជាអ្នកគ្រប់គ្រងទេ វាពិនិត្យមើលថាតើ Google Authenticator ត្រូវបានកំណត់រចនាសម្ព័ន្ធដែរឬទេ។ ប្រសិនបើមិនមានទេ នោះលេខកូដ QR និងការចេញរបស់អ្នកប្រើប្រាស់ត្រូវបានបង្កើត។
• ប្រសិនបើមិនមែនជាអ្នកគ្រប់គ្រង ហើយ Google Authenticator ត្រូវបានកំណត់រចនាសម្ព័ន្ធទេ នោះគ្រាន់តែចេញ។
• ប្រសិនបើអ្នកគ្រប់គ្រង សូមពិនិត្យមើល Google Authenticator ម្តងទៀត។ ប្រសិនបើ​មិន​បាន​កំណត់​ទេ កូដ QR នឹង​ត្រូវ​បាន​បង្កើត។

តក្កវិជ្ជាទាំងអស់ត្រូវបានធ្វើដោយប្រើ /etc/skel/.bash_profile.

cat /etc/skel/.bash_profile

# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs
# Make several commands available from user shell

if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
  then
    [[ ! -d $HOME/bin ]] && mkdir $HOME/bin
    [[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
    [[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
    [[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
    [[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
    [[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
    [[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
  # Set PATH env to <home user directory>/bin
    PATH=$HOME/bin
    export PATH
  else
    PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
    export PATH
fi


if [[ -n $(id $USER | grep "domain users") ]]
  then
    if [[ ! -e $HOME/.google_authenticator ]]
      then
        if [[ -n $(id $USER | grep "admins") ]]
          then
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
          else
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password to VPN."
            logout
        fi
      else
        echo "You have already setup a Google Authenticator"
        if [[ -z $(id $USER | grep "admins") ]]
          then
          logout
        fi
    fi
  else
    echo "You don't need to set up a Google Authenticator"
fi

ការដំឡើង Fortigate៖

• យើងបង្កើត កាំ- ម៉ាស៊ីនមេ

  

• យើងបង្កើតក្រុមចាំបាច់ ប្រសិនបើចាំបាច់ ចូលគ្រប់គ្រងដោយក្រុម។ ឈ្មោះក្រុមនៅលើ បន្ទាយ ត្រូវតែផ្គូផ្គងក្រុមដែលត្រូវបានឆ្លងកាត់ គុណលក្ខណៈជាក់លាក់របស់អ្នកលក់ ឈ្មោះ Fortinet-ក្រុម.

  

• ការកែសម្រួលចាំបាច់ SSL ដែលបាន- វិបផតថល។

  

• ការបន្ថែមក្រុមទៅក្នុងគោលនយោបាយ។

  

គុណសម្បត្តិនៃដំណោះស្រាយនេះ៖

• វាអាចធ្វើទៅបានដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយ OTP នៅលើ បន្ទាយ ដំណោះស្រាយប្រភពបើកចំហ។
• អ្នក​ប្រើ​មិន​បញ្ចូល​ពាក្យ​សម្ងាត់​ដែន​នៅ​ពេល​តភ្ជាប់​តាម​រយៈ VPN ដែល​ជួយ​សម្រួល​ដល់​ដំណើរការ​តភ្ជាប់។ ពាក្យសម្ងាត់ 6 ខ្ទង់គឺងាយស្រួលបញ្ចូលជាងពាក្យសម្ងាត់ដែលផ្តល់ដោយគោលការណ៍សុវត្ថិភាព។ ជាលទ្ធផល ចំនួនសំបុត្រដែលមានប្រធានបទ៖ "ខ្ញុំមិនអាចភ្ជាប់ទៅ VPN" ថយចុះ។

PS យើងមានគម្រោងធ្វើឱ្យប្រសើរឡើងនូវដំណោះស្រាយនេះទៅជាការផ្ទៀងផ្ទាត់កត្តាពីរយ៉ាងពេញលេញជាមួយនឹងការឆ្លើយតបបញ្ហាប្រឈម។

ការធ្វើបច្ចប្បុន្នភាព:

ដូចដែលបានសន្យា ខ្ញុំបានកែប្រែវាទៅជាជម្រើសឆ្លើយតបបញ្ហាប្រឈម។
ដូច្នេះ:
នៅក្នុងឯកសារ /etc/raddb/sites-enabled/default ផ្នែក ផ្តល់សិទ្ធិ មើលទៅដូចនេះ:

authorize {
    filter_username
    preprocess
    auth_log
    chap
    mschap
    suffix
    eap {
        ok = return
    }
    files
    -sql
    #-ldap
    expiration
    logintime
    if (!State) {
        if (&User-Password) {
            # If !State and User-Password (PAP), then force LDAP:
            update control {
                Ldap-UserDN := "%{User-Name}"
                Auth-Type := LDAP
            }
        }
        else {
            reject
        }
    }
    else {
        # If State, then proxy request:
        group_authorization
    }
pap
}

ផ្នែក ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ឥឡូវនេះមើលទៅដូចនេះ៖

authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        # Attempt authentication with a direct LDAP bind:
        Auth-Type LDAP {
        ldap
        if (ok) {
            update reply {
                # Create a random State attribute:
                State := "%{randstr:aaaaaaaaaaaaaaaa}"
                Reply-Message := "Please enter OTP"
                }
            # Return Access-Challenge:
            challenge
            }
        }
        pam
        eap
}

ឥឡូវ​ការ​ផ្ទៀងផ្ទាត់​អ្នក​ប្រើ​កើត​ឡើង​តាម​ក្បួន​ដោះស្រាយ​ដូច​ខាង​ក្រោម៖

• អ្នកប្រើប្រាស់បញ្ចូលឥណទានដែននៅក្នុងម៉ាស៊ីនភ្ញៀវ VPN ។
• Freeradius ពិនិត្យមើលសុពលភាពនៃគណនី និងពាក្យសម្ងាត់
• ប្រសិនបើពាក្យសម្ងាត់ត្រឹមត្រូវ នោះសំណើសម្រាប់សញ្ញាសម្ងាត់ត្រូវបានផ្ញើ។
• និមិត្តសញ្ញាកំពុងត្រូវបានផ្ទៀងផ្ទាត់។
• ប្រាក់ចំណេញ) ។

ប្រភព: www.habr.com