2FA ಗೆ ಹೋಗಿ (ASA SSL VPN ಗಾಗಿ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣ)

ಕಾರ್ಪೊರೇಟ್ ಪರಿಸರಕ್ಕೆ ರಿಮೋಟ್ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುವ ಅಗತ್ಯವು ಹೆಚ್ಚು ಹೆಚ್ಚು ಹೊರಹೊಮ್ಮುತ್ತಿದೆ, ಅದು ನಿಮ್ಮ ಸಂಸ್ಥೆಯಲ್ಲಿ ನಿರ್ದಿಷ್ಟ ಸರ್ವರ್‌ಗೆ ಪ್ರವೇಶದ ಅಗತ್ಯವಿರುವ ನಿಮ್ಮ ಬಳಕೆದಾರರು ಅಥವಾ ಪಾಲುದಾರರಾಗಿರಲಿ.

ಈ ಉದ್ದೇಶಗಳಿಗಾಗಿ, ಹೆಚ್ಚಿನ ಕಂಪನಿಗಳು VPN ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸುತ್ತವೆ, ಇದು ಸಂಸ್ಥೆಯ ಸ್ಥಳೀಯ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುವ ವಿಶ್ವಾಸಾರ್ಹವಾಗಿ ಸಂರಕ್ಷಿತ ಮಾರ್ಗವಾಗಿದೆ ಎಂದು ಸಾಬೀತಾಗಿದೆ.

ನನ್ನ ಕಂಪನಿಯು ಇದಕ್ಕೆ ಹೊರತಾಗಿಲ್ಲ, ಮತ್ತು ನಾವು ಇತರರಂತೆ ಈ ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸುತ್ತೇವೆ. ಮತ್ತು, ಇತರ ಅನೇಕರಂತೆ, ನಾವು ಸಿಸ್ಕೋ ASA 55xx ಅನ್ನು ರಿಮೋಟ್ ಪ್ರವೇಶ ಗೇಟ್‌ವೇ ಆಗಿ ಬಳಸುತ್ತೇವೆ.

ರಿಮೋಟ್ ಬಳಕೆದಾರರ ಸಂಖ್ಯೆ ಹೆಚ್ಚಾದಂತೆ, ರುಜುವಾತುಗಳನ್ನು ನೀಡುವ ವಿಧಾನವನ್ನು ಸರಳಗೊಳಿಸುವ ಅವಶ್ಯಕತೆಯಿದೆ. ಆದರೆ ಅದೇ ಸಮಯದಲ್ಲಿ, ಸುರಕ್ಷತೆಗೆ ಧಕ್ಕೆಯಾಗದಂತೆ ಇದನ್ನು ಮಾಡಬೇಕು.

ನಮಗಾಗಿ, ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಕೋ SSL VPN ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಬಳಸುವಲ್ಲಿ ನಾವು ಪರಿಹಾರವನ್ನು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ. ಮತ್ತು ಅಗತ್ಯ ಸಾಫ್ಟ್‌ವೇರ್‌ಗಾಗಿ ಕನಿಷ್ಠ ಸಮಯ ಮತ್ತು ಶೂನ್ಯ ವೆಚ್ಚದೊಂದಿಗೆ ಅಂತಹ ಪರಿಹಾರವನ್ನು ಹೇಗೆ ಸಂಘಟಿಸುವುದು ಎಂಬುದನ್ನು ಈ ಪ್ರಕಟಣೆಯು ನಿಮಗೆ ತಿಳಿಸುತ್ತದೆ (ನಿಮ್ಮ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ನೀವು ಈಗಾಗಲೇ ಸಿಸ್ಕೋ ಎಎಸ್‌ಎ ಹೊಂದಿದ್ದೀರಿ ಎಂದು ಒದಗಿಸಲಾಗಿದೆ).

ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ರಚಿಸಲು ಪೆಟ್ಟಿಗೆಯ ಪರಿಹಾರಗಳೊಂದಿಗೆ ಮಾರುಕಟ್ಟೆಯು ತುಂಬಿದೆ, ಅವುಗಳನ್ನು ಪಡೆಯಲು ಸಾಕಷ್ಟು ಆಯ್ಕೆಗಳನ್ನು ನೀಡುತ್ತದೆ, ಅದು SMS ಮೂಲಕ ಪಾಸ್‌ವರ್ಡ್ ಕಳುಹಿಸುತ್ತಿರಲಿ ಅಥವಾ ಹಾರ್ಡ್‌ವೇರ್ ಮತ್ತು ಸಾಫ್ಟ್‌ವೇರ್ ಎರಡರ ಟೋಕನ್‌ಗಳನ್ನು ಬಳಸುತ್ತಿರಲಿ (ಉದಾಹರಣೆಗೆ, ಮೊಬೈಲ್ ಫೋನ್‌ನಲ್ಲಿ). ಆದರೆ ಹಣವನ್ನು ಉಳಿಸುವ ಬಯಕೆ ಮತ್ತು ನನ್ನ ಉದ್ಯೋಗದಾತರಿಗೆ ಹಣವನ್ನು ಉಳಿಸುವ ಬಯಕೆ, ಪ್ರಸ್ತುತ ಬಿಕ್ಕಟ್ಟಿನಲ್ಲಿ, ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಉತ್ಪಾದಿಸುವ ಸೇವೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಉಚಿತ ಮಾರ್ಗವನ್ನು ಕಂಡುಕೊಳ್ಳಲು ನನ್ನನ್ನು ಒತ್ತಾಯಿಸಿತು. ಇದು ಉಚಿತವಾದಾಗ, ವಾಣಿಜ್ಯ ಪರಿಹಾರಗಳಿಗಿಂತ ಹೆಚ್ಚು ಕೆಳಮಟ್ಟದಲ್ಲಿಲ್ಲ (ಇಲ್ಲಿ ನಾವು ಕಾಯ್ದಿರಿಸಬೇಕು, ಈ ಉತ್ಪನ್ನವು ವಾಣಿಜ್ಯ ಆವೃತ್ತಿಯನ್ನು ಸಹ ಹೊಂದಿದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ, ಆದರೆ ನಮ್ಮ ವೆಚ್ಚಗಳು ಹಣದಲ್ಲಿ ಶೂನ್ಯವಾಗಿರುತ್ತದೆ ಎಂದು ನಾವು ಒಪ್ಪಿಕೊಂಡಿದ್ದೇವೆ).

ಆದ್ದರಿಂದ, ನಮಗೆ ಅಗತ್ಯವಿದೆ:

- ವೆಬ್‌ನ ಮೂಲಕ ಸರ್ವರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಮಲ್ಟಿಒಟಿಪಿ, ಫ್ರೀರೇಡಿಯಸ್ ಮತ್ತು ಎನ್‌ಜಿಎನ್‌ಎಕ್ಸ್ ಉಪಕರಣಗಳ ಅಂತರ್ನಿರ್ಮಿತ ಸೆಟ್ ಹೊಂದಿರುವ ಲಿನಕ್ಸ್ ಚಿತ್ರ (http://download.multiotp.net/ - ನಾನು VMware ಗಾಗಿ ಸಿದ್ಧ ಚಿತ್ರವನ್ನು ಬಳಸಿದ್ದೇನೆ)
- ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಸರ್ವರ್
- ಸಿಸ್ಕೋ ASA ಸ್ವತಃ (ಅನುಕೂಲಕ್ಕಾಗಿ, ನಾನು ASDM ಅನ್ನು ಬಳಸುತ್ತೇನೆ)
- TOTP ಕಾರ್ಯವಿಧಾನವನ್ನು ಬೆಂಬಲಿಸುವ ಯಾವುದೇ ಸಾಫ್ಟ್‌ವೇರ್ ಟೋಕನ್ (ನಾನು, ಉದಾಹರಣೆಗೆ, Google Authenticator ಅನ್ನು ಬಳಸುತ್ತೇನೆ, ಆದರೆ ಅದೇ FreeOTP ಮಾಡುತ್ತದೆ)

ಚಿತ್ರವು ಹೇಗೆ ತೆರೆದುಕೊಳ್ಳುತ್ತದೆ ಎಂಬುದರ ವಿವರಗಳಿಗೆ ನಾನು ಹೋಗುವುದಿಲ್ಲ. ಪರಿಣಾಮವಾಗಿ, ನೀವು ಈಗಾಗಲೇ ಸ್ಥಾಪಿಸಲಾದ ಮಲ್ಟಿಒಟಿಪಿ ಮತ್ತು ಫ್ರೀರೇಡಿಯಸ್‌ನೊಂದಿಗೆ ಡೆಬಿಯನ್ ಲಿನಕ್ಸ್ ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತೀರಿ, ಒಟ್ಟಿಗೆ ಕೆಲಸ ಮಾಡಲು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಒಟಿಪಿ ಆಡಳಿತಕ್ಕಾಗಿ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತೀರಿ.

ಹಂತ 1. ನಾವು ಸಿಸ್ಟಮ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ ಮತ್ತು ಅದನ್ನು ನಿಮ್ಮ ನೆಟ್‌ವರ್ಕ್‌ಗಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇವೆ
ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ಸಿಸ್ಟಮ್ ರೂಟ್ ರೂಟ್ ರುಜುವಾತುಗಳೊಂದಿಗೆ ಬರುತ್ತದೆ. ಮೊದಲ ಲಾಗಿನ್ ಆದ ನಂತರ ರೂಟ್ ಯೂಸರ್ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸುವುದು ಒಳ್ಳೆಯದು ಎಂದು ಎಲ್ಲರೂ ಊಹಿಸಿದ್ದಾರೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ. ನೀವು ನೆಟ್‌ವರ್ಕ್ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಹ ಬದಲಾಯಿಸಬೇಕಾಗಿದೆ (ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಇದು ಗೇಟ್‌ವೇ '192.168.1.44' ಜೊತೆಗೆ '192.168.1.1' ಆಗಿದೆ). ನಂತರ ನೀವು ಸಿಸ್ಟಮ್ ಅನ್ನು ರೀಬೂಟ್ ಮಾಡಬಹುದು.

ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಬಳಕೆದಾರರನ್ನು ರಚಿಸೋಣ otp, ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ MySuperPassword.

ಹಂತ 2. ಸಂಪರ್ಕವನ್ನು ಹೊಂದಿಸಿ ಮತ್ತು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಬಳಕೆದಾರರನ್ನು ಆಮದು ಮಾಡಿ
ಇದನ್ನು ಮಾಡಲು, ನಮಗೆ ಕನ್ಸೋಲ್‌ಗೆ ಮತ್ತು ನೇರವಾಗಿ ಫೈಲ್‌ಗೆ ಪ್ರವೇಶ ಬೇಕು multiotp.php, ಇದನ್ನು ಬಳಸಿಕೊಂಡು ನಾವು ಸಂಪರ್ಕ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಗೆ ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇವೆ.

ಡೈರೆಕ್ಟರಿಗೆ ಹೋಗಿ /usr/local/bin/multiotp/ ಮತ್ತು ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಗಳನ್ನು ಅನುಕ್ರಮವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಿ:

./multiotp.php -config default-request-prefix-pin=0

ಒಂದು-ಬಾರಿ ಪಿನ್ (0 ಅಥವಾ 1) ಅನ್ನು ನಮೂದಿಸುವಾಗ ಹೆಚ್ಚುವರಿ (ಶಾಶ್ವತ) ಪಿನ್ ಅಗತ್ಯವಿದೆಯೇ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ

./multiotp.php -config default-request-ldap-pwd=0

ಒಂದು-ಬಾರಿ ಪಿನ್ (0 ಅಥವಾ 1) ಅನ್ನು ನಮೂದಿಸುವಾಗ ಡೊಮೇನ್ ಪಾಸ್‌ವರ್ಡ್ ಅಗತ್ಯವಿದೆಯೇ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ

./multiotp.php -config ldap-server-type=1

LDAP ಸರ್ವರ್ ಪ್ರಕಾರವನ್ನು ಸೂಚಿಸಲಾಗುತ್ತದೆ (0 = ಸಾಮಾನ್ಯ LDAP ಸರ್ವರ್, ನಮ್ಮ ಸಂದರ್ಭದಲ್ಲಿ 1 = ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

ಬಳಕೆದಾರ ಹೆಸರನ್ನು ಪ್ರಸ್ತುತಪಡಿಸುವ ಸ್ವರೂಪವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ (ಈ ಮೌಲ್ಯವು ಡೊಮೇನ್ ಇಲ್ಲದೆ ಹೆಸರನ್ನು ಮಾತ್ರ ಪ್ರದರ್ಶಿಸುತ್ತದೆ)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

ಅದೇ ವಿಷಯ, ಒಂದು ಗುಂಪಿಗೆ ಮಾತ್ರ

./multiotp.php -config ldap-group-attribute="memberOf"

ಬಳಕೆದಾರರು ಗುಂಪಿಗೆ ಸೇರಿದ್ದಾರೆಯೇ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುವ ವಿಧಾನವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ

./multiotp.php -config ldap-ssl=1

ನಾನು LDAP ಸರ್ವರ್‌ಗೆ ಸುರಕ್ಷಿತ ಸಂಪರ್ಕವನ್ನು ಬಳಸಬೇಕೇ (ಸಹಜವಾಗಿ, ಹೌದು!)

./multiotp.php -config ldap-port=636

LDAP ಸರ್ವರ್‌ಗೆ ಸಂಪರ್ಕಿಸಲು ಪೋರ್ಟ್

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

ನಿಮ್ಮ ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಸರ್ವರ್ ವಿಳಾಸ

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

ಡೊಮೇನ್‌ನಲ್ಲಿ ಬಳಕೆದಾರರ ಹುಡುಕಾಟವನ್ನು ಎಲ್ಲಿ ಪ್ರಾರಂಭಿಸಬೇಕು ಎಂದು ನಾವು ಸೂಚಿಸುತ್ತೇವೆ

./multiotp.php -config ldap-bind-dn="[email protected]"

ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಹುಡುಕಾಟ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿರುವ ಬಳಕೆದಾರರನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ

./multiotp.php -config ldap-server-password="MySuperPassword"

ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಗೆ ಸಂಪರ್ಕಿಸಲು ಬಳಕೆದಾರ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ

./multiotp.php -config ldap-network-timeout=10

ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಗೆ ಸಂಪರ್ಕಿಸಲು ಸಮಯ ಮೀರುವಿಕೆಯನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ

./multiotp.php -config ldap-time-limit=30

ಬಳಕೆದಾರರ ಆಮದು ಕಾರ್ಯಾಚರಣೆಗೆ ನಾವು ಸಮಯ ಮಿತಿಯನ್ನು ಹೊಂದಿಸಿದ್ದೇವೆ

./multiotp.php -config ldap-activated=1

ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಸಂಪರ್ಕ ಸಂರಚನೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತಿದೆ

./multiotp.php -debug -display-log -ldap-users-sync

ನಾವು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯಿಂದ ಬಳಕೆದಾರರನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುತ್ತೇವೆ

ಹಂತ 3. ಟೋಕನ್‌ಗಾಗಿ QR ಕೋಡ್ ಅನ್ನು ರಚಿಸಿ
ಇಲ್ಲಿ ಎಲ್ಲವೂ ಅತ್ಯಂತ ಸರಳವಾಗಿದೆ. ಬ್ರೌಸರ್‌ನಲ್ಲಿ OTP ಸರ್ವರ್‌ನ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ತೆರೆಯಿರಿ, ಲಾಗ್ ಇನ್ ಮಾಡಿ (ನಿರ್ವಾಹಕರಿಗಾಗಿ ಡೀಫಾಲ್ಟ್ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಮರೆಯಬೇಡಿ!), ಮತ್ತು "ಪ್ರಿಂಟ್" ಬಟನ್ ಕ್ಲಿಕ್ ಮಾಡಿ:

ಈ ಕ್ರಿಯೆಯ ಫಲಿತಾಂಶವು ಎರಡು QR ಕೋಡ್‌ಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಪುಟವಾಗಿರುತ್ತದೆ. ಅವುಗಳಲ್ಲಿ ಮೊದಲನೆಯದನ್ನು ನಾವು ಧೈರ್ಯದಿಂದ ನಿರ್ಲಕ್ಷಿಸುತ್ತೇವೆ (ಆಕರ್ಷಕ ಶಾಸನದ ಹೊರತಾಗಿಯೂ Google Authenticator / Authenticator / 2 Steps Authenticator), ಮತ್ತು ಮತ್ತೊಮ್ಮೆ ನಾವು ಎರಡನೇ ಕೋಡ್ ಅನ್ನು ಫೋನ್‌ನಲ್ಲಿ ಸಾಫ್ಟ್‌ವೇರ್ ಟೋಕನ್‌ಗೆ ಧೈರ್ಯದಿಂದ ಸ್ಕ್ಯಾನ್ ಮಾಡುತ್ತೇವೆ:

(ಹೌದು, QR ಕೋಡ್ ಅನ್ನು ಓದಲಾಗದಂತೆ ಮಾಡಲು ನಾನು ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ ಹಾಳುಮಾಡಿದ್ದೇನೆ).

ಈ ಕ್ರಿಯೆಗಳನ್ನು ಪೂರ್ಣಗೊಳಿಸಿದ ನಂತರ, ನಿಮ್ಮ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ಪ್ರತಿ ಮೂವತ್ತು ಸೆಕೆಂಡಿಗೆ ಆರು-ಅಂಕಿಯ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ರಚಿಸುವುದು ಪ್ರಾರಂಭವಾಗುತ್ತದೆ.

ಖಚಿತವಾಗಿ, ನೀವು ಅದನ್ನು ಅದೇ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಪರಿಶೀಲಿಸಬಹುದು:

ನಿಮ್ಮ ಫೋನ್‌ನಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ನಿಮ್ಮ ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಮೂಲಕ. ನೀವು ಸಕಾರಾತ್ಮಕ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಸ್ವೀಕರಿಸಿದ್ದೀರಾ? ಆದ್ದರಿಂದ ನಾವು ಮುಂದುವರಿಯುತ್ತೇವೆ.

ಹಂತ 4. FreeRADIUS ಕಾರ್ಯಾಚರಣೆಯ ಹೆಚ್ಚುವರಿ ಸಂರಚನೆ ಮತ್ತು ಪರೀಕ್ಷೆ
ನಾನು ಮೇಲೆ ಹೇಳಿದಂತೆ, FreeRADIUS ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು multiOTP ಅನ್ನು ಈಗಾಗಲೇ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ, ಪರೀಕ್ಷೆಗಳನ್ನು ನಡೆಸುವುದು ಮತ್ತು FreeRADIUS ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ಗೆ ನಮ್ಮ VPN ಗೇಟ್‌ವೇ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸೇರಿಸುವುದು ಮಾತ್ರ ಉಳಿದಿದೆ.

ನಾವು ಸರ್ವರ್ ಕನ್ಸೋಲ್‌ಗೆ, ಡೈರೆಕ್ಟರಿಗೆ ಹಿಂತಿರುಗುತ್ತೇವೆ /usr/local/bin/multiotp/, ನಮೂದಿಸಿ:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

ಹೆಚ್ಚು ವಿವರವಾದ ಲಾಗಿಂಗ್ ಸೇರಿದಂತೆ.

FreeRADIUS ಕ್ಲೈಂಟ್‌ಗಳ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್‌ನಲ್ಲಿ (/etc/freeradius/clinets.conf) ಸಂಬಂಧಿಸಿದ ಎಲ್ಲಾ ಸಾಲುಗಳನ್ನು ಕಾಮೆಂಟ್ ಮಾಡಿ ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ ಮತ್ತು ಎರಡು ನಮೂದುಗಳನ್ನು ಸೇರಿಸಿ:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- ಪರೀಕ್ಷೆಗಾಗಿ

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- ನಮ್ಮ VPN ಗೇಟ್‌ವೇಗಾಗಿ.

FreeRADIUS ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸಿ ಮತ್ತು ಲಾಗ್ ಇನ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿ:

radtest username 100110 localhost 1812 testing321

ಅಲ್ಲಿ ಬಳಕೆದಾರ ಹೆಸರು = ಬಳಕೆದಾರ ಹೆಸರು, 100110 = ಫೋನ್‌ನಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ನಮಗೆ ನೀಡಿದ ಪಾಸ್‌ವರ್ಡ್, ಸ್ಥಳೀಯ ಹೋಸ್ಟ್ = RADIUS ಸರ್ವರ್ ವಿಳಾಸ, 1812 - ರೇಡಿಯಸ್ ಸರ್ವರ್ ಪೋರ್ಟ್, ಪರೀಕ್ಷೆ - RADIUS ಸರ್ವರ್ ಕ್ಲೈಂಟ್ ಪಾಸ್ವರ್ಡ್ (ನಾವು ಸಂರಚನೆಯಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ).

ಈ ಆಜ್ಞೆಯ ಫಲಿತಾಂಶವು ಸರಿಸುಮಾರು ಈ ಕೆಳಗಿನಂತೆ ಔಟ್ಪುಟ್ ಆಗಿರುತ್ತದೆ:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

ಈಗ ನಾವು ಬಳಕೆದಾರರನ್ನು ಯಶಸ್ವಿಯಾಗಿ ದೃಢೀಕರಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬೇಕು. ಇದನ್ನು ಮಾಡಲು, ನಾವು multiotp ನ ಲಾಗ್ ಅನ್ನು ನೋಡುತ್ತೇವೆ:

tail /var/log/multiotp/multiotp.log

ಮತ್ತು ಕೊನೆಯ ನಮೂದು ಇದ್ದರೆ:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

ನಂತರ ಎಲ್ಲವೂ ಚೆನ್ನಾಗಿ ಹೋಯಿತು ಮತ್ತು ನಾವು ಪೂರ್ಣಗೊಳಿಸಬಹುದು

ಹಂತ 5: Cisco ASA ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ
SLL VPN ಮೂಲಕ ಪ್ರವೇಶಕ್ಕಾಗಿ ನಾವು ಈಗಾಗಲೇ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ಗುಂಪು ಮತ್ತು ನೀತಿಗಳನ್ನು ಹೊಂದಿದ್ದೇವೆ ಎಂದು ಒಪ್ಪಿಕೊಳ್ಳೋಣ, ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಈ ಪ್ರೊಫೈಲ್‌ಗೆ ನಾವು ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಸೇರಿಸಬೇಕಾಗಿದೆ.

1. ಹೊಸ AAA ಸರ್ವರ್ ಗುಂಪನ್ನು ಸೇರಿಸಿ:

2. ನಮ್ಮ ಮಲ್ಟಿಒಟಿಪಿ ಸರ್ವರ್ ಅನ್ನು ಗುಂಪಿಗೆ ಸೇರಿಸಿ:

3. ನಾವು ಸಂಪಾದಿಸುತ್ತೇವೆ ಸಂಪರ್ಕ ಪ್ರೊಫೈಲ್, ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಸರ್ವರ್ ಗುಂಪನ್ನು ಮುಖ್ಯ ದೃಢೀಕರಣ ಸರ್ವರ್ ಆಗಿ ಹೊಂದಿಸುವುದು:

4. ಟ್ಯಾಬ್‌ನಲ್ಲಿ ಸುಧಾರಿತ -> ದೃಢೀಕರಣ ನಾವು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಸರ್ವರ್ ಗುಂಪನ್ನು ಸಹ ಆಯ್ಕೆ ಮಾಡುತ್ತೇವೆ:

5. ಟ್ಯಾಬ್‌ನಲ್ಲಿ ಸುಧಾರಿತ -> ಮಾಧ್ಯಮಿಕ ದೃಢೀಕರಣ, ಮಲ್ಟಿOTP ಸರ್ವರ್ ನೋಂದಾಯಿಸಲಾದ ರಚಿಸಿದ ಸರ್ವರ್ ಗುಂಪನ್ನು ಆಯ್ಕೆಮಾಡಿ. ಸೆಷನ್ ಬಳಕೆದಾರಹೆಸರು ಪ್ರಾಥಮಿಕ AAA ಸರ್ವರ್ ಗುಂಪಿನಿಂದ ಆನುವಂಶಿಕವಾಗಿದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ:

ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಅನ್ವಯಿಸಿ ಮತ್ತು

ಹಂತ 6, ಅಕಾ ಕೊನೆಯದು
SLL VPN ಗಾಗಿ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವು ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸೋಣ:

Voila! Cisco AnyConnect VPN ಕ್ಲೈಂಟ್ ಮೂಲಕ ಸಂಪರ್ಕಿಸುವಾಗ, ನಿಮ್ಮನ್ನು ಎರಡನೇ, ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಸಹ ಕೇಳಲಾಗುತ್ತದೆ.

ಈ ಲೇಖನವು ಯಾರಿಗಾದರೂ ಸಹಾಯ ಮಾಡುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ, ಮತ್ತು ಇದನ್ನು ಹೇಗೆ ಬಳಸುವುದು ಎಂಬುದರ ಕುರಿತು ಆಲೋಚನೆಗಾಗಿ ಯಾರಿಗಾದರೂ ಆಹಾರವನ್ನು ನೀಡುತ್ತದೆ, ಉಚಿತ OTP ಸರ್ವರ್, ಇತರ ಕಾರ್ಯಗಳಿಗಾಗಿ. ನೀವು ಬಯಸಿದರೆ ಕಾಮೆಂಟ್‌ಗಳಲ್ಲಿ ಹಂಚಿಕೊಳ್ಳಿ.

ಮೂಲ: www.habr.com