ចូលទៅកាន់ 2FA (ការផ្ទៀងផ្ទាត់ពីរកត្តាសម្រាប់ ASA SSL VPN)

តម្រូវការក្នុងការផ្តល់នូវការចូលប្រើពីចម្ងាយទៅកាន់បរិយាកាសសាជីវកម្មកំពុងលេចឡើងកាន់តែច្រើនឡើងៗ មិនថាវាជាអ្នកប្រើប្រាស់ ឬដៃគូរបស់អ្នកដែលត្រូវការចូលប្រើម៉ាស៊ីនមេជាក់លាក់ណាមួយនៅក្នុងស្ថាប័នរបស់អ្នកនោះទេ។

សម្រាប់គោលបំណងទាំងនេះ ក្រុមហ៊ុនភាគច្រើនប្រើប្រាស់បច្ចេកវិទ្យា VPN ដែលបានបង្ហាញឱ្យឃើញដោយខ្លួនឯងថាជាមធ្យោបាយការពារដែលអាចទុកចិត្តបានក្នុងការផ្តល់សិទ្ធិចូលប្រើប្រាស់ធនធានក្នុងស្រុករបស់អង្គការ។

ក្រុមហ៊ុនរបស់ខ្ញុំមិនមានករណីលើកលែងនោះទេ ហើយយើងក៏ដូចអ្នកផ្សេងទៀតដែរ ប្រើប្រាស់បច្ចេកវិទ្យានេះ។ ហើយដូចអ្នកផ្សេងទៀតដែរ យើងប្រើ Cisco ASA 55xx ជាច្រកចូលពីចម្ងាយ។

ដោយសារចំនួនអ្នកប្រើប្រាស់ពីចម្ងាយកើនឡើង ចាំបាច់ត្រូវសម្រួលនីតិវិធីសម្រាប់ការចេញលិខិតសម្គាល់។ ប៉ុន្តែក្នុងពេលជាមួយគ្នានេះត្រូវតែធ្វើដោយមិនប៉ះពាល់ដល់សុវត្ថិភាព។

សម្រាប់ខ្លួនយើង យើងបានរកឃើញដំណោះស្រាយមួយក្នុងការប្រើប្រាស់ការផ្ទៀងផ្ទាត់ពីរកត្តាសម្រាប់ភ្ជាប់តាមរយៈ Cisco SSL VPN ដោយប្រើពាក្យសម្ងាត់តែមួយដង។ ហើយការបោះពុម្ពនេះនឹងប្រាប់អ្នកពីរបៀបរៀបចំដំណោះស្រាយបែបនេះជាមួយនឹងការចំណាយពេលវេលាតិចតួចបំផុត និងសូន្យសម្រាប់កម្មវិធីចាំបាច់ (ផ្តល់ថាអ្នកមាន Cisco ASA នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នករួចហើយ)។

ទីផ្សារគឺសំបូរទៅដោយដំណោះស្រាយប្រអប់សម្រាប់បង្កើតពាក្យសម្ងាត់តែមួយដង ខណៈពេលដែលផ្តល់ជូននូវជម្រើសជាច្រើនសម្រាប់ការទទួលបានវា ថាតើវាផ្ញើលេខសម្ងាត់តាមរយៈសារ SMS ឬប្រើថូខឹន ទាំងផ្នែករឹង និងសូហ្វវែរ (ឧទាហរណ៍នៅលើទូរសព្ទដៃ)។ ប៉ុន្តែបំណងប្រាថ្នាដើម្បីសន្សំប្រាក់និងបំណងប្រាថ្នាសន្សំប្រាក់សម្រាប់និយោជករបស់ខ្ញុំក្នុងវិបត្តិបច្ចុប្បន្នបានបង្ខំខ្ញុំឱ្យស្វែងរកវិធីឥតគិតថ្លៃដើម្បីអនុវត្តសេវាកម្មសម្រាប់បង្កើតពាក្យសម្ងាត់តែម្តង។ ដែលខណៈពេលដែលឥតគិតថ្លៃ គឺមិនទាបជាងដំណោះស្រាយពាណិជ្ជកម្មច្រើនទេ (នៅទីនេះយើងគួរតែធ្វើការកក់ទុក ដោយកត់សម្គាល់ថាផលិតផលនេះក៏មានកំណែពាណិជ្ជកម្មដែរ ប៉ុន្តែយើងបានយល់ព្រមថាការចំណាយរបស់យើងជាលុយនឹងសូន្យ)។

ដូច្នេះយើងត្រូវការៈ

- រូបភាពលីនុចដែលមានឧបករណ៍ដែលភ្ជាប់មកជាមួយ - multiOTP, FreeRADIUS និង nginx សម្រាប់ចូលប្រើម៉ាស៊ីនមេតាមរយៈបណ្តាញ (http://download.multiotp.net/ - ខ្ញុំបានប្រើរូបភាពដែលត្រៀមរួចជាស្រេចសម្រាប់ VMware)
- ម៉ាស៊ីនបម្រើថតសកម្ម
- Cisco ASA ខ្លួនវា (សម្រាប់ភាពងាយស្រួល ខ្ញុំប្រើ ASDM)
- និមិត្តសញ្ញាកម្មវិធីណាមួយដែលគាំទ្រយន្តការ TOTP (ឧទាហរណ៍ ខ្ញុំប្រើ Google Authenticator ប៉ុន្តែ FreeOTP ដូចគ្នានឹងធ្វើ)

ខ្ញុំ​នឹង​មិន​លម្អិត​អំពី​របៀប​ដែល​រូបភាព​លាត​ត្រដាង​នោះ​ទេ។ ជាលទ្ធផល អ្នកនឹងទទួលបាន Debian Linux ជាមួយ multiOTP និង FreeRADIUS ដែលបានដំឡើងរួចហើយ កំណត់រចនាសម្ព័ន្ធដើម្បីធ្វើការជាមួយគ្នា និងចំណុចប្រទាក់បណ្ដាញសម្រាប់ការគ្រប់គ្រង OTP ។

ជំហានទី 1. យើងចាប់ផ្តើមប្រព័ន្ធ និងកំណត់រចនាសម្ព័ន្ធវាសម្រាប់បណ្តាញរបស់អ្នក។
តាមលំនាំដើម ប្រព័ន្ធនេះភ្ជាប់មកជាមួយព័ត៌មានសម្គាល់ឫសគល់។ ខ្ញុំ​គិត​ថា​អ្នក​រាល់​គ្នា​បាន​ទាយ​ថា​វា​ជា​គំនិត​ល្អ​ក្នុង​ការ​ផ្លាស់​ប្តូរ​លេខ​សម្ងាត់​អ្នក​ប្រើ root បន្ទាប់​ពី​ការ​ចូល​ដំបូង។ អ្នកក៏ត្រូវផ្លាស់ប្តូរការកំណត់បណ្តាញ (តាមលំនាំដើមវាគឺ '192.168.1.44' ជាមួយនឹងច្រកចេញចូល '192.168.1.1')។ បន្ទាប់ពីនោះអ្នកអាចចាប់ផ្តើមប្រព័ន្ធឡើងវិញ។

តោះបង្កើតអ្នកប្រើប្រាស់ក្នុង Active Directory otpជាមួយនឹងពាក្យសម្ងាត់ MySuperPassword.

ជំហាន 2. ដំឡើងការតភ្ជាប់ និងនាំចូលអ្នកប្រើប្រាស់ Active Directory
ដើម្បីធ្វើដូច្នេះ យើងត្រូវចូលប្រើកុងសូល និងដោយផ្ទាល់ទៅកាន់ឯកសារ multiotp.phpដោយប្រើដែលយើងនឹងកំណត់រចនាសម្ព័ន្ធការកំណត់ការតភ្ជាប់ទៅ Active Directory ។

ចូលទៅកាន់ថត /usr/local/bin/multiotp/ ហើយប្រតិបត្តិពាក្យបញ្ជាខាងក្រោមជាវេន៖

./multiotp.php -config default-request-prefix-pin=0

កំណត់ថាតើត្រូវការម្ជុលបន្ថែម (អចិន្រ្តៃយ៍) នៅពេលបញ្ចូលម្ជុលម្តង (0 ឬ 1)

./multiotp.php -config default-request-ldap-pwd=0

កំណត់ថាតើពាក្យសម្ងាត់ដែនត្រូវបានទាមទារនៅពេលបញ្ចូលម្ជុលម្តង (0 ឬ 1)

./multiotp.php -config ldap-server-type=1

ប្រភេទម៉ាស៊ីនមេ LDAP ត្រូវបានចង្អុលបង្ហាញ (0 = ម៉ាស៊ីនមេ LDAP ធម្មតា ក្នុងករណីរបស់យើង 1 = Active Directory)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

បញ្ជាក់ទម្រង់ដែលត្រូវបង្ហាញឈ្មោះអ្នកប្រើប្រាស់ (តម្លៃនេះនឹងបង្ហាញតែឈ្មោះដោយគ្មានដែន)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

រឿងដដែលនេះសម្រាប់តែក្រុមមួយ។

./multiotp.php -config ldap-group-attribute="memberOf"

បញ្ជាក់វិធីសាស្ត្រសម្រាប់កំណត់ថាតើអ្នកប្រើប្រាស់ជាកម្មសិទ្ធិរបស់ក្រុមឬអត់

./multiotp.php -config ldap-ssl=1

តើខ្ញុំគួរប្រើការភ្ជាប់ដែលមានសុវត្ថិភាពទៅម៉ាស៊ីនមេ LDAP (ពិតណាស់ - បាទ!)

./multiotp.php -config ldap-port=636

ច្រកសម្រាប់ភ្ជាប់ទៅម៉ាស៊ីនមេ LDAP

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

អាសយដ្ឋានម៉ាស៊ីនមេ Active Directory របស់អ្នក។

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

យើងចង្អុលបង្ហាញកន្លែងដែលត្រូវចាប់ផ្តើមស្វែងរកអ្នកប្រើប្រាស់នៅក្នុងដែន

./multiotp.php -config ldap-bind-dn="[email protected]"

បញ្ជាក់អ្នកប្រើប្រាស់ដែលមានសិទ្ធិស្វែងរកក្នុង Active Directory

./multiotp.php -config ldap-server-password="MySuperPassword"

បញ្ជាក់ពាក្យសម្ងាត់អ្នកប្រើប្រាស់ ដើម្បីភ្ជាប់ទៅកាន់ Active Directory

./multiotp.php -config ldap-network-timeout=10

កំណត់ពេលអស់ពេលសម្រាប់ភ្ជាប់ទៅ Active Directory

./multiotp.php -config ldap-time-limit=30

យើងកំណត់ពេលវេលាសម្រាប់ប្រតិបត្តិការនាំចូលអ្នកប្រើប្រាស់

./multiotp.php -config ldap-activated=1

ការធ្វើឱ្យការកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ Active Directory សកម្ម

./multiotp.php -debug -display-log -ldap-users-sync

យើងនាំចូលអ្នកប្រើប្រាស់ពី Active Directory

ជំហានទី 3. បង្កើតកូដ QR សម្រាប់សញ្ញាសម្ងាត់
អ្វីគ្រប់យ៉ាងនៅទីនេះគឺសាមញ្ញបំផុត។ បើកចំណុចប្រទាក់បណ្ដាញរបស់ម៉ាស៊ីនមេ OTP នៅក្នុងកម្មវិធីរុករក ចូល (កុំភ្លេចប្តូរពាក្យសម្ងាត់លំនាំដើមសម្រាប់អ្នកគ្រប់គ្រង!) ហើយចុចលើប៊ូតុង "បោះពុម្ព"៖

លទ្ធផលនៃសកម្មភាពនេះនឹងជាទំព័រដែលមានលេខកូដ QR ពីរ។ យើងព្រងើយកន្តើយនឹងអក្សរទីមួយរបស់ពួកគេដោយក្លាហាន (ទោះបីជាមានសិលាចារឹកដ៏គួរឱ្យទាក់ទាញរបស់ Google Authenticator / Authenticator / 2 Steps Authenticator) ហើយម្តងទៀតយើងស្កែនលេខកូដទីពីរយ៉ាងក្លាហានទៅក្នុងនិមិត្តសញ្ញាកម្មវិធីនៅលើទូរស័ព្ទ៖

(បាទ/ចាស ខ្ញុំបានបំផ្លាញកូដ QR ដោយចេតនាដើម្បីធ្វើឱ្យវាមិនអាចអានបាន)។

បន្ទាប់ពីបញ្ចប់សកម្មភាពទាំងនេះ ពាក្យសម្ងាត់ប្រាំមួយខ្ទង់នឹងចាប់ផ្តើមបង្កើតនៅក្នុងកម្មវិធីរបស់អ្នករៀងរាល់សាមសិបវិនាទី។

ដើម្បីឱ្យប្រាកដ អ្នកអាចពិនិត្យមើលវានៅក្នុងចំណុចប្រទាក់ដូចគ្នា៖

ដោយបញ្ចូលឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់តែម្តងពីកម្មវិធីនៅលើទូរសព្ទរបស់អ្នក។ តើអ្នកបានទទួលការឆ្លើយតបជាវិជ្ជមានទេ? ដូច្នេះយើងបន្តទៅមុខទៀត។

ជំហាន 4. ការកំណត់រចនាសម្ព័ន្ធបន្ថែម និងការធ្វើតេស្តនៃប្រតិបត្តិការ FreeRADIUS
ដូចដែលខ្ញុំបានរៀបរាប់ខាងលើ multiOTP ត្រូវបានកំណត់រចនាសម្ព័ន្ធរួចហើយដើម្បីធ្វើការជាមួយ FreeRADIUS អ្វីៗដែលនៅសល់គឺត្រូវដំណើរការការធ្វើតេស្ត និងបន្ថែមព័ត៌មានអំពីច្រកផ្លូវ VPN របស់យើងទៅកាន់ឯកសារកំណត់រចនាសម្ព័ន្ធ FreeRADIUS ។

យើងត្រលប់ទៅកុងសូលម៉ាស៊ីនមេ ទៅកាន់ថត /usr/local/bin/multiotp/, បញ្ចូល៖

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

រួមទាំងការកត់ត្រាលម្អិតបន្ថែមទៀត។

នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធអតិថិជន FreeRADIUS (/etc/freeradius/clinets.conf) បញ្ចេញមតិលើបន្ទាត់ទាំងអស់ដែលទាក់ទងនឹង localhost ហើយបន្ថែមធាតុពីរ៖

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- សម្រាប់ការធ្វើតេស្ត

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- សម្រាប់ច្រកផ្លូវ VPN របស់យើង។

ចាប់ផ្តើម FreeRADIUS ឡើងវិញ ហើយព្យាយាមចូល៖

radtest username 100110 localhost 1812 testing321

ដែលជាកន្លែងដែល username = ឈ្មោះអ្នកប្រើ, 100110 = ពាក្យសម្ងាត់ដែលបានផ្តល់ឱ្យយើងដោយកម្មវិធីនៅលើទូរស័ព្ទ, localhost = អាសយដ្ឋានម៉ាស៊ីនមេ RADIUS, 1812 - ច្រកម៉ាស៊ីនមេ RADIUS, សាកល្បង 321 - លេខសំងាត់ម៉ាស៊ីនមេ RADIUS (ដែលយើងបានបញ្ជាក់ក្នុងការកំណត់)។

លទ្ធផលនៃពាក្យបញ្ជានេះនឹងមានលទ្ធផលប្រហែលដូចខាងក្រោម៖

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

ឥឡូវនេះយើងត្រូវធ្វើឱ្យប្រាកដថាអ្នកប្រើប្រាស់ត្រូវបានផ្ទៀងផ្ទាត់ដោយជោគជ័យ។ ដើម្បីធ្វើដូចនេះយើងនឹងពិនិត្យមើលកំណត់ហេតុនៃ multiotp ខ្លួនវាផ្ទាល់:

tail /var/log/multiotp/multiotp.log

ហើយប្រសិនបើធាតុចុងក្រោយមាន៖

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

បន្ទាប់មកអ្វីៗដំណើរការល្អ ហើយយើងអាចបញ្ចប់បាន។

ជំហានទី 5: កំណត់រចនាសម្ព័ន្ធ Cisco ASA
ចូរយើងយល់ព្រមថា យើងមានក្រុម និងគោលការណ៍ដែលបានកំណត់រួចហើយសម្រាប់ការចូលប្រើតាមរយៈ SLL VPN ដែលបានកំណត់រចនាសម្ព័ន្ធដោយភ្ជាប់ជាមួយ Active Directory ហើយយើងត្រូវបន្ថែមការផ្ទៀងផ្ទាត់ពីរកត្តាសម្រាប់ទម្រង់នេះ។

1. បន្ថែមក្រុមម៉ាស៊ីនមេ AAA ថ្មី៖

2. បន្ថែមម៉ាស៊ីនមេ multiOTP របស់យើងទៅក្រុម៖

3. យើងកែសម្រួល ទម្រង់ការតភ្ជាប់កំណត់ក្រុមម៉ាស៊ីនមេ Active Directory ជាម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ៖

4. នៅក្នុងផ្ទាំង កម្រិតខ្ពស់ -> ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ យើងក៏ជ្រើសរើសក្រុមម៉ាស៊ីនមេ Active Directory៖

5. នៅក្នុងផ្ទាំង កម្រិតខ្ពស់ -> អនុវិទ្យាល័យ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ជ្រើសរើសក្រុមម៉ាស៊ីនមេដែលបានបង្កើត ដែលម៉ាស៊ីនមេ multiOTP ត្រូវបានចុះឈ្មោះ។ ចំណាំថាឈ្មោះអ្នកប្រើប្រាស់ Session ត្រូវបានទទួលមរតកពីក្រុមម៉ាស៊ីនមេ AAA ចម្បង៖

អនុវត្តការកំណត់និង

ជំហានទី 6 ហៅថាចុងក្រោយ
តោះពិនិត្យមើលថាតើការផ្ទៀងផ្ទាត់ពីរកត្តាដំណើរការសម្រាប់ SLL VPN ដែរឬទេ៖

អីយ៉ា! នៅពេលភ្ជាប់តាមរយៈ Cisco AnyConnect VPN Client អ្នកក៏នឹងត្រូវបានសួររកលេខសម្ងាត់មួយដងផងដែរ។

ខ្ញុំសង្ឃឹមថាអត្ថបទនេះនឹងជួយនរណាម្នាក់ ហើយវានឹងផ្តល់អាហារដល់នរណាម្នាក់សម្រាប់ការគិតអំពីរបៀបប្រើវា ឥតគិតថ្លៃ ម៉ាស៊ីនមេ OTP សម្រាប់កិច្ចការផ្សេងទៀត។ ចែករំលែកនៅក្នុងមតិយោបល់ប្រសិនបើអ្នកចង់។

ប្រភព: www.habr.com