ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ពីរកត្តា LinOTP

ថ្ងៃនេះខ្ញុំចង់ចែករំលែកពីរបៀបតំឡើងម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ពីរកត្តា ដើម្បីការពារបណ្តាញសាជីវកម្ម គេហទំព័រ សេវាកម្ម ssh ។ ម៉ាស៊ីនមេនឹងដំណើរការបន្សំដូចខាងក្រោម៖ LinOTP + FreeRadius ។

ហេតុអ្វីបានជាយើងត្រូវការវា?
នេះគឺជាដំណោះស្រាយដ៏ងាយស្រួល និងឥតគិតថ្លៃទាំងស្រុង នៅក្នុងបណ្តាញរបស់ខ្លួន ដោយឯករាជ្យពីអ្នកផ្តល់សេវាភាគីទីបី។

សេវាកម្មនេះមានភាពងាយស្រួល មើលឃើញច្បាស់ មិនដូចផលិតផលប្រភពបើកចំហផ្សេងទៀតទេ ហើយក៏គាំទ្រមុខងារ និងគោលការណ៍មួយចំនួនធំផងដែរ (ឧទាហរណ៍ ចូល+ពាក្យសម្ងាត់+(PIN+OTPToken))។ តាមរយៈ API វារួមបញ្ចូលជាមួយសេវាកម្មផ្ញើសារ (LinOTP Config->Provider Config->SMS Provider) បង្កើតកូដសម្រាប់កម្មវិធីទូរស័ព្ទដូចជា Google Authentificator និងច្រើនទៀត។ ខ្ញុំគិតថាវាងាយស្រួលជាងសេវាកម្មដែលបានពិភាក្សានៅក្នុងនោះ។ អត្ថបទ.

ម៉ាស៊ីនមេនេះដំណើរការយ៉ាងល្អឥតខ្ចោះជាមួយ Cisco ASA ម៉ាស៊ីនមេ OpenVPN Apache2 និងជាទូទៅជាមួយអ្វីៗស្ទើរតែទាំងអស់ដែលគាំទ្រការផ្ទៀងផ្ទាត់តាមរយៈម៉ាស៊ីនមេ RADIUS (ឧទាហរណ៍សម្រាប់ SSH នៅក្នុងមជ្ឈមណ្ឌលទិន្នន័យ)។

វាត្រូវបានទាមទារ៖

1) Debian 8 (jessie) - ចាំបាច់! (ការដំឡើងសាកល្បងនៅលើ debian 9 ត្រូវបានពិពណ៌នានៅចុងបញ្ចប់នៃអត្ថបទ)

ចាប់ផ្តើម៖

ការដំឡើង Debian 8 ។

បន្ថែមឃ្លាំង LinOTP៖

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

ការបន្ថែមសោ៖

# gpg --search-keys 913DFF12F86258E5

ពេលខ្លះក្នុងអំឡុងពេលដំឡើង "ស្អាត" បន្ទាប់ពីដំណើរការពាក្យបញ្ជានេះ Debian បង្ហាញ៖

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

នេះគឺជាការដំឡើង gnupg ដំបូង។ មិន​អី​ទេ។ គ្រាន់តែដំណើរការពាក្យបញ្ជាម្តងទៀត។
ចំពោះសំណួររបស់ដេបៀន៖

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

យើងឆ្លើយ៖ ១

បន្ទាប់:

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

ដំឡើង mysql ។ តាមទ្រឹស្តី អ្នកអាចប្រើម៉ាស៊ីនមេ sql ផ្សេងទៀត ប៉ុន្តែសម្រាប់ភាពសាមញ្ញ ខ្ញុំនឹងប្រើវាដូចដែលបានណែនាំសម្រាប់ LinOTP ។

(ព័ត៌មានបន្ថែម រួមទាំងការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋានទិន្នន័យ LinOTP ឡើងវិញអាចត្រូវបានរកឃើញនៅក្នុងឯកសារផ្លូវការសម្រាប់ តំណភ្ជាប់. នៅទីនោះអ្នកក៏អាចស្វែងរកពាក្យបញ្ជាផងដែរ៖ dpkg-reconfigure linotp ដើម្បីផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រ ប្រសិនបើអ្នកបានដំឡើង mysql រួចហើយ)។

# apt-get install mysql-server

# apt-get update

(វាមិនឈឺចាប់ក្នុងការត្រួតពិនិត្យការអាប់ដេតម្តងទៀតទេ)
ដំឡើង LinOTP និងម៉ូឌុលបន្ថែម៖

# apt-get install linotp

យើងឆ្លើយសំណួររបស់អ្នកដំឡើង៖
ប្រើ Apache2: បាទ
បង្កើតពាក្យសម្ងាត់សម្រាប់អ្នកគ្រប់គ្រង Linotp: "ពាក្យសម្ងាត់របស់អ្នក"
បង្កើតវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង?៖ បាទ
ប្រើ MySQL?: បាទ
តើមូលដ្ឋានទិន្នន័យនៅឯណា៖ localhost
បង្កើតមូលដ្ឋានទិន្នន័យ LinOTP (ឈ្មោះមូលដ្ឋាន) នៅលើម៉ាស៊ីនមេ៖ LinOTP2
បង្កើតអ្នកប្រើប្រាស់ដាច់ដោយឡែកសម្រាប់មូលដ្ឋានទិន្នន័យ៖ LinOTP2
យើងកំណត់ពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់៖ "ពាក្យសម្ងាត់របស់អ្នក"
តើខ្ញុំគួរបង្កើតមូលដ្ឋានទិន្នន័យឥឡូវនេះទេ? (អ្វីមួយដូចជា "តើអ្នកប្រាកដថាអ្នកចង់បាន ... "): បាទ
បញ្ចូលពាក្យសម្ងាត់ MySQL root ដែលអ្នកបានបង្កើតនៅពេលដំឡើងវា៖ “YourPassword”
ធ្វើ។

(ស្រេចចិត្ត អ្នកមិនចាំបាច់ដំឡើងវាទេ)

# apt-get install linotp-adminclient-cli 

(ស្រេចចិត្ត អ្នកមិនចាំបាច់ដំឡើងវាទេ)

# apt-get install libpam-linotp  

ដូច្នេះហើយ ចំណុចប្រទាក់បណ្ដាញ Linotp របស់យើងឥឡូវនេះមាននៅ៖

"<b>https</b>: //IP_сервера/manage"

ខ្ញុំនឹងនិយាយអំពីការកំណត់នៅក្នុងចំណុចប្រទាក់គេហទំព័របន្តិចក្រោយមក។

ឥឡូវនេះអ្វីដែលសំខាន់បំផុត! យើងលើក FreeRadius ហើយភ្ជាប់វាជាមួយ Linotp ។

ដំឡើង FreeRadius និងម៉ូឌុលសម្រាប់ធ្វើការជាមួយ LinOTP

# apt-get install freeradius linotp-freeradius-perl

បម្រុងទុកអតិថិជន និងការកំណត់រចនាសម្ព័ន្ធកាំអ្នកប្រើប្រាស់។

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

បង្កើតឯកសារអតិថិជនទទេ៖

# touch /etc/freeradius/clients.conf

ការកែសម្រួលឯកសារកំណត់រចនាសម្ព័ន្ធថ្មីរបស់យើង (ការកំណត់រចនាសម្ព័ន្ធដែលបានបម្រុងទុកអាចត្រូវបានប្រើជាឧទាហរណ៍)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

បន្ទាប់មកបង្កើតឯកសារអ្នកប្រើប្រាស់៖

# touch /etc/freeradius/users

យើងកែសម្រួលឯកសារដោយប្រាប់កាំថាយើងនឹងប្រើ perl សម្រាប់ការផ្ទៀងផ្ទាត់។

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

បន្ទាប់មកកែសម្រួលឯកសារ /etc/freeradius/modules/perl

# nano /etc/freeradius/modules/perl

យើងត្រូវបញ្ជាក់ផ្លូវទៅកាន់ស្គ្រីប perl linotp ក្នុងប៉ារ៉ាម៉ែត្រម៉ូឌុល៖

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

... ..
បន្ទាប់យើងបង្កើតឯកសារដែលយើងនិយាយថាមួយណា (ដែន មូលដ្ឋានទិន្នន័យ ឬឯកសារ) ដើម្បីយកទិន្នន័យពី។

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

ខ្ញុំនឹងលម្អិតបន្ថែមទៀតនៅទីនេះ ព្រោះវាសំខាន់៖

ការពិពណ៌នាពេញលេញនៃឯកសារជាមួយនឹងមតិយោបល់៖
#IP របស់ម៉ាស៊ីនមេ linOTP (អាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ LinOTP របស់យើង)
URL=https://172.17.14.103/validate/simplecheck
# តំបន់របស់យើងដែលយើងនឹងបង្កើតនៅក្នុងចំណុចប្រទាក់បណ្តាញ LinOTP ។ )
REALM=rearm1
#ឈ្មោះក្រុមអ្នកប្រើប្រាស់ដែលត្រូវបានបង្កើតនៅក្នុងបណ្តាញ LinOTP ។
RESCONF=flat_file
#ជម្រើស៖ បញ្ចេញមតិ ប្រសិនបើអ្វីៗហាក់ដូចជាដំណើរការល្អ។
បំបាត់កំហុស=ពិត
#ស្រេចចិត្ត៖ ប្រើវា ប្រសិនបើអ្នកមានវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង បើមិនដូច្នេះទេ បញ្ចេញមតិ (SSL ប្រសិនបើយើងបង្កើតវិញ្ញាបនបត្រផ្ទាល់ខ្លួន ហើយចង់ផ្ទៀងផ្ទាត់វា)
SSL_CHECK=មិនពិត

បន្ទាប់មកបង្កើតឯកសារ /etc/freeradius/sites-available/linotp

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

ហើយចម្លងការកំណត់ទៅក្នុងវា (មិនចាំបាច់កែសម្រួលអ្វីទេ)៖

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

បន្ទាប់យើងនឹងបង្កើតតំណស៊ីមមួយ៖

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

ដោយផ្ទាល់ ខ្ញុំសម្លាប់គេហទំព័រ Radius លំនាំដើម ប៉ុន្តែប្រសិនបើអ្នកត្រូវការវា អ្នកអាចកែសម្រួលការកំណត់របស់ពួកគេ ឬបិទពួកវាបាន។

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

ឥឡូវ​នេះ​យើង​ត្រឡប់​ទៅ​ទំព័រ​បណ្ដាញ​វិញ ហើយ​មើល​វា​ឱ្យ​លម្អិត​បន្តិច​ទៀត៖
នៅជ្រុងខាងស្តាំខាងលើចុចលើ LinOTP Config -> UserIdResolvers -> New
យើងជ្រើសរើសអ្វីដែលយើងចង់បាន៖ LDAP (AD win, LDAP samba) ឬ SQL ឬអ្នកប្រើប្រាស់ក្នុងស្រុកនៃប្រព័ន្ធ Flatfile ។

បំពេញក្នុងវាលដែលត្រូវការ។

បន្ទាប់យើងបង្កើត REALMS៖
នៅជ្រុងខាងស្តាំខាងលើ ចុច LinOTP Config -> Realms -> New ។
ហើយដាក់ឈ្មោះទៅ REALMS របស់យើង ហើយចុចលើ UserIdResolvers ដែលបានបង្កើតពីមុន។

FreeRadius ត្រូវការទិន្នន័យទាំងអស់នេះនៅក្នុងឯកសារ /etc/linotp2/rlm_perl.ini ដូចដែលខ្ញុំបានសរសេរខាងលើ ដូច្នេះប្រសិនបើអ្នកមិនបានកែសម្រួលវាទេ សូមធ្វើវាឥឡូវនេះ។

ម៉ាស៊ីនមេត្រូវបានកំណត់រចនាសម្ព័ន្ធទាំងអស់។

បន្ថែម៖

ការដំឡើង LinOTP នៅលើ Debian 9:

ការដំឡើង:

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list 

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(តាមលំនាំដើម នៅក្នុង Debian 9 mysql (mariaDB) មិនផ្តល់ជូនដើម្បីកំណត់ពាក្យសម្ងាត់ root ទេ ពិតណាស់អ្នកអាចទុកវាឱ្យនៅទទេ ប៉ុន្តែប្រសិនបើអ្នកអានព័ត៌មាន នេះច្រើនតែនាំឱ្យ "បរាជ័យ" ដូច្នេះយើងនឹងកំណត់វា ទោះយ៉ាងណាក៏ដោយ)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

បិទភ្ជាប់លេខកូដ (ផ្ញើដោយ JuriM អរគុណដល់គាត់!)៖

ម៉ាស៊ីនមេ linotp {
ស្តាប់ {
ipaddr = *
ច្រក = 1812
type=auth
}
ស្តាប់ {
ipaddr = *
ច្រក = 1813
type=acct
}
អនុញ្ញាត {
ដំណើរការមុន។
ធ្វើបច្ចុប្បន្នភាព {
&control:Auth-Type:= Perl
}
}
ផ្ទៀងផ្ទាត់ {
ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវប្រភេទ Perl {
perl
}
}
គណនេយ្យ {
យូនីក
}
}

កែសម្រួល /etc/freeradius/3.0/mods-enabled/perl

perl {
ឈ្មោះឯកសារ = /usr/share/linotp/radius_linotp.pm
func_authenticate = ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
func_authorize = អនុញ្ញាត
}

ជាអកុសល នៅក្នុង Debian 9 បណ្ណាល័យ radius_linotp.pm មិនត្រូវបានដំឡើងពីឃ្លាំងទេ ដូច្នេះយើងនឹងយកវាពី github ។

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

ឥឡូវនេះសូមកែសម្រួល /etc/freeradius/3.0/clients.conf

ម៉ាស៊ីនបម្រើអតិថិជន {
ipaddr = 192.168.188.0/24
secret = ពាក្យសម្ងាត់របស់អ្នក។
}

ឥឡូវនេះសូមកែតម្រូវ nano /etc/linotp2/rlm_perl.ini

យើងបិទភ្ជាប់កូដដូចគ្នានៅទីនោះដូចពេលដំឡើងនៅលើ debian 8 (ពិពណ៌នាខាងលើ)

នោះហើយជាទាំងអស់យោងទៅតាមគំនិត។ (មិនទាន់បានសាកល្បង)

ខ្ញុំ​នឹង​ទុក​តំណ​ខាងក្រោម​មួយ​ចំនួន​អំពី​ការ​រៀបចំ​ប្រព័ន្ធ​ដែល​ភាគច្រើន​ត្រូវ​ការពារ​ដោយ​ការ​ផ្ទៀងផ្ទាត់​កត្តា​ពីរ៖
ការដំឡើងការផ្ទៀងផ្ទាត់ពីរកត្តានៅក្នុង Apache2

ដំឡើងជាមួយ Cisco ASA(ម៉ាស៊ីនមេជំនាន់និមិត្តសញ្ញាផ្សេងគ្នាត្រូវបានប្រើនៅទីនោះ ប៉ុន្តែការកំណត់របស់ ASA ខ្លួនវាដូចគ្នា)។

VPN ជាមួយនឹងការផ្ទៀងផ្ទាត់ពីរកត្តា

ការលៃតម្រូវ ការផ្ទៀងផ្ទាត់កត្តាពីរនៅក្នុង ssh (LinOTP ក៏ត្រូវបានគេប្រើនៅទីនោះផងដែរ) - សូមអរគុណដល់អ្នកនិពន្ធ។ នៅទីនោះ អ្នកក៏អាចរកឃើញអ្វីដែលគួរឱ្យចាប់អារម្មណ៍អំពីការបង្កើតគោលនយោបាយ LiOTP ផងដែរ។

ដូចគ្នានេះផងដែរ cms នៃគេហទំព័រជាច្រើនគាំទ្រការផ្ទៀងផ្ទាត់ពីរកត្តា (សម្រាប់ WordPress, LinOTP ថែមទាំងមានម៉ូឌុលពិសេសផ្ទាល់ខ្លួនសម្រាប់ GitHubឧទាហរណ៍ ប្រសិនបើអ្នកចង់បង្កើតផ្នែកការពារនៅលើគេហទំព័រសាជីវកម្មរបស់អ្នកសម្រាប់បុគ្គលិកក្រុមហ៊ុន។
ការពិតសំខាន់! កុំធីកប្រអប់ “Google autenteficator” ដើម្បីប្រើ Google Authenticator! លេខកូដ QR មិនអាចអានបានទេ... (ការពិតចម្លែក)

ដើម្បីសរសេរអត្ថបទនេះ ព័ត៌មានពីអត្ថបទខាងក្រោមត្រូវបានប្រើ៖
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

សូមអរគុណដល់អ្នកនិពន្ធ។

ប្រភព: www.habr.com