ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > LinOTP ಎರಡು-ಅಂಶ ದೃಢೀಕರಣ ಸರ್ವರ್

LinOTP ಎರಡು-ಅಂಶ ದೃಢೀಕರಣ ಸರ್ವರ್

LinOTP ಎರಡು-ಅಂಶ ದೃಢೀಕರಣ ಸರ್ವರ್

ನಿಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್‌ವರ್ಕ್, ವೆಬ್‌ಸೈಟ್‌ಗಳು, ಸೇವೆಗಳು, ssh ಅನ್ನು ರಕ್ಷಿಸಲು ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣ ಸರ್ವರ್ ಅನ್ನು ಹೇಗೆ ಹೊಂದಿಸುವುದು ಎಂಬುದನ್ನು ಇಂದು ನಾನು ಹಂಚಿಕೊಳ್ಳಲು ಬಯಸುತ್ತೇನೆ. ಸರ್ವರ್ ಈ ಕೆಳಗಿನ ಸಂಯೋಜನೆಯನ್ನು ರನ್ ಮಾಡುತ್ತದೆ: LinOTP + FreeRadius.

ನಮಗೆ ಅದು ಏಕೆ ಬೇಕು?
ಇದು ಸಂಪೂರ್ಣವಾಗಿ ಉಚಿತ, ಅನುಕೂಲಕರ ಪರಿಹಾರವಾಗಿದೆ, ಅದರ ಸ್ವಂತ ನೆಟ್‌ವರ್ಕ್‌ನಲ್ಲಿ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಪೂರೈಕೆದಾರರಿಂದ ಸ್ವತಂತ್ರವಾಗಿದೆ.

ಈ ಸೇವೆಯು ಇತರ ತೆರೆದ ಮೂಲ ಉತ್ಪನ್ನಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿ ತುಂಬಾ ಅನುಕೂಲಕರವಾಗಿದೆ, ಸಾಕಷ್ಟು ದೃಷ್ಟಿಗೋಚರವಾಗಿದೆ ಮತ್ತು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಕಾರ್ಯಗಳು ಮತ್ತು ನೀತಿಗಳನ್ನು ಸಹ ಬೆಂಬಲಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಲಾಗಿನ್+ಪಾಸ್‌ವರ್ಡ್+(PIN+OTPToken)). API ಮೂಲಕ, ಇದು sms ಕಳುಹಿಸುವ ಸೇವೆಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸುತ್ತದೆ (LinOTP ಕಾನ್ಫಿಗ್->ಪ್ರೊವೈಡರ್ ಕಾನ್ಫಿಗ್->ಎಸ್‌ಎಂಎಸ್ ಪೂರೈಕೆದಾರ), ಗೂಗಲ್ ಅಥೆಂಟಿಫಿಕೇಟರ್‌ನಂತಹ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ಕೋಡ್‌ಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ ಮತ್ತು ಇನ್ನಷ್ಟು. ಚರ್ಚಿಸಿದ ಸೇವೆಗಿಂತ ಇದು ಹೆಚ್ಚು ಅನುಕೂಲಕರವಾಗಿದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ ಲೇಖನ.

ಈ ಸರ್ವರ್ Cisco ASA, OpenVPN ಸರ್ವರ್, Apache2, ಮತ್ತು ಸಾಮಾನ್ಯವಾಗಿ RADIUS ಸರ್ವರ್ ಮೂಲಕ ದೃಢೀಕರಣವನ್ನು ಬೆಂಬಲಿಸುವ ಎಲ್ಲದರ ಜೊತೆಗೆ ಸಂಪೂರ್ಣವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ಡೇಟಾ ಕೇಂದ್ರದಲ್ಲಿ SSH ಗಾಗಿ).

ಇದು ಅಗತ್ಯವಿದೆ:

1) ಡೆಬಿಯನ್ 8 (ಜೆಸ್ಸಿ) - ಅಗತ್ಯವಾಗಿ! (ಡೆಬಿಯನ್ 9 ನಲ್ಲಿನ ಪ್ರಯೋಗ ಅನುಸ್ಥಾಪನೆಯನ್ನು ಲೇಖನದ ಕೊನೆಯಲ್ಲಿ ವಿವರಿಸಲಾಗಿದೆ)

ಪ್ರಾರಂಭ:

ಡೆಬಿಯನ್ 8 ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗುತ್ತಿದೆ.

LinOTP ರೆಪೊಸಿಟರಿಯನ್ನು ಸೇರಿಸಿ:

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

ಕೀಗಳನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ:

# gpg --search-keys 913DFF12F86258E5

ಕೆಲವೊಮ್ಮೆ "ಕ್ಲೀನ್" ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ, ಈ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಿದ ನಂತರ, ಡೆಬಿಯನ್ ಪ್ರದರ್ಶನಗಳು: 

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

ಇದು ಆರಂಭಿಕ gnupg ಸೆಟಪ್ ಆಗಿದೆ. ಪರವಾಗಿಲ್ಲ. ಆಜ್ಞೆಯನ್ನು ಮತ್ತೆ ಚಲಾಯಿಸಿ.
ಡೆಬಿಯನ್ ಅವರ ಪ್ರಶ್ನೆಗೆ:

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

ನಾವು ಉತ್ತರಿಸುತ್ತೇವೆ: 1

ಮುಂದೆ: 

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

mysql ಅನ್ನು ಸ್ಥಾಪಿಸಿ. ಸಿದ್ಧಾಂತದಲ್ಲಿ, ನೀವು ಇನ್ನೊಂದು sql ಸರ್ವರ್ ಅನ್ನು ಬಳಸಬಹುದು, ಆದರೆ ಸರಳತೆಗಾಗಿ ನಾನು ಅದನ್ನು LinOTP ಗೆ ಶಿಫಾರಸು ಮಾಡಿದಂತೆ ಬಳಸುತ್ತೇನೆ.

(LinOTP ಡೇಟಾಬೇಸ್ ಅನ್ನು ಮರುಸಂರಚಿಸುವುದು ಸೇರಿದಂತೆ ಹೆಚ್ಚುವರಿ ಮಾಹಿತಿಯನ್ನು ಅಧಿಕೃತ ದಾಖಲೆಯಲ್ಲಿ ಕಾಣಬಹುದು ಲಿಂಕ್. ಅಲ್ಲಿ ನೀವು ಆಜ್ಞೆಯನ್ನು ಸಹ ಕಾಣಬಹುದು: ನೀವು ಈಗಾಗಲೇ mysql ಅನ್ನು ಸ್ಥಾಪಿಸಿದ್ದರೆ ನಿಯತಾಂಕಗಳನ್ನು ಬದಲಾಯಿಸಲು dpkg-reconfigure linotp).

# apt-get install mysql-server

# apt-get update

(ನವೀಕರಣಗಳನ್ನು ಮತ್ತೊಮ್ಮೆ ಪರಿಶೀಲಿಸಲು ಇದು ನೋಯಿಸುವುದಿಲ್ಲ)
LinOTP ಮತ್ತು ಹೆಚ್ಚುವರಿ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸಿ:

# apt-get install linotp

ಅನುಸ್ಥಾಪಕದ ಪ್ರಶ್ನೆಗಳಿಗೆ ನಾವು ಉತ್ತರಿಸುತ್ತೇವೆ:
Apache2 ಬಳಸಿ: ಹೌದು
ನಿರ್ವಾಹಕ Linotp ಗಾಗಿ ಪಾಸ್‌ವರ್ಡ್ ರಚಿಸಿ: “ನಿಮ್ಮ ಪಾಸ್‌ವರ್ಡ್”
ಸ್ವಯಂ ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸುವುದೇ?: ಹೌದು
MySQL ಬಳಸುವುದೇ?: ಹೌದು
ಡೇಟಾಬೇಸ್ ಎಲ್ಲಿದೆ: ಲೋಕಲ್ ಹೋಸ್ಟ್
ಸರ್ವರ್‌ನಲ್ಲಿ LinOTP ಡೇಟಾಬೇಸ್ (ಮೂಲ ಹೆಸರು) ರಚಿಸಿ: LinOTP2
ಡೇಟಾಬೇಸ್‌ಗಾಗಿ ಪ್ರತ್ಯೇಕ ಬಳಕೆದಾರರನ್ನು ರಚಿಸಿ: LinOTP2
ನಾವು ಬಳಕೆದಾರರಿಗಾಗಿ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಹೊಂದಿಸಿದ್ದೇವೆ: "ನಿಮ್ಮ ಪಾಸ್ವರ್ಡ್"
ನಾನು ಈಗ ಡೇಟಾಬೇಸ್ ಅನ್ನು ರಚಿಸಬೇಕೇ? ("ನಿಮಗೆ ಖಾತ್ರಿಯಿದೆಯೇ..." ನಂತಹ ವಿಷಯ): ಹೌದು
ಅದನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ನೀವು ರಚಿಸಿದ MySQL ರೂಟ್ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸಿ: “ನಿಮ್ಮ ಪಾಸ್‌ವರ್ಡ್”
ಮುಗಿದಿದೆ.

(ಐಚ್ಛಿಕ, ನೀವು ಅದನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗಿಲ್ಲ)

# apt-get install linotp-adminclient-cli

(ಐಚ್ಛಿಕ, ನೀವು ಅದನ್ನು ಸ್ಥಾಪಿಸಬೇಕಾಗಿಲ್ಲ)

# apt-get install libpam-linotp

ಮತ್ತು ಆದ್ದರಿಂದ ನಮ್ಮ Linotp ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಈಗ ಇಲ್ಲಿ ಲಭ್ಯವಿದೆ: 

"<b>https</b>: //IP_сервера/manage"

ನಾನು ಸ್ವಲ್ಪ ಸಮಯದ ನಂತರ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿನ ಸೆಟ್ಟಿಂಗ್ಗಳ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತೇನೆ.

ಈಗ, ಅತ್ಯಂತ ಮುಖ್ಯವಾದ ವಿಷಯ! ನಾವು FreeRadius ಅನ್ನು ಹೆಚ್ಚಿಸುತ್ತೇವೆ ಮತ್ತು ಅದನ್ನು Linotp ನೊಂದಿಗೆ ಲಿಂಕ್ ಮಾಡುತ್ತೇವೆ.

LinOTP ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು FreeRadius ಮತ್ತು ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿ

# apt-get install freeradius linotp-freeradius-perl

ಕ್ಲೈಂಟ್ ಮತ್ತು ಬಳಕೆದಾರರ ತ್ರಿಜ್ಯದ ಸಂರಚನೆಗಳನ್ನು ಬ್ಯಾಕಪ್ ಮಾಡಿ.

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

ಖಾಲಿ ಕ್ಲೈಂಟ್ ಫೈಲ್ ಅನ್ನು ರಚಿಸಿ:

# touch /etc/freeradius/clients.conf

ನಮ್ಮ ಹೊಸ ಸಂರಚನಾ ಕಡತವನ್ನು ಸಂಪಾದಿಸಲಾಗುತ್ತಿದೆ (ಬ್ಯಾಕ್ ಅಪ್ ಮಾಡಿದ ಸಂರಚನೆಯನ್ನು ಉದಾಹರಣೆಯಾಗಿ ಬಳಸಬಹುದು)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

ಮುಂದೆ, ಬಳಕೆದಾರರ ಫೈಲ್ ಅನ್ನು ರಚಿಸಿ:

# touch /etc/freeradius/users

ನಾವು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಪರ್ಲ್ ಅನ್ನು ಬಳಸುತ್ತೇವೆ ಎಂದು ತ್ರಿಜ್ಯವನ್ನು ಹೇಳುವ ಮೂಲಕ ನಾವು ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸುತ್ತೇವೆ.

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

ಮುಂದೆ, ಫೈಲ್ /etc/freeradius/modules/perl ಅನ್ನು ಸಂಪಾದಿಸಿ

# nano /etc/freeradius/modules/perl

ಮಾಡ್ಯೂಲ್ ಪ್ಯಾರಾಮೀಟರ್‌ನಲ್ಲಿ ನಾವು perl linotp ಸ್ಕ್ರಿಪ್ಟ್‌ಗೆ ಮಾರ್ಗವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗಿದೆ: 

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

... ..
ಮುಂದೆ, ನಾವು ಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತೇವೆ, ಅದರಲ್ಲಿ ನಾವು ಯಾವ (ಡೊಮೇನ್, ಡೇಟಾಬೇಸ್ ಅಥವಾ ಫೈಲ್) ಡೇಟಾವನ್ನು ತೆಗೆದುಕೊಳ್ಳಬೇಕೆಂದು ಹೇಳುತ್ತೇವೆ.

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

ನಾನು ಇಲ್ಲಿ ಸ್ವಲ್ಪ ಹೆಚ್ಚು ವಿವರವಾಗಿ ಹೋಗುತ್ತೇನೆ ಏಕೆಂದರೆ ಅದು ಮುಖ್ಯವಾಗಿದೆ:

ಕಾಮೆಂಟ್‌ಗಳೊಂದಿಗೆ ಫೈಲ್‌ನ ಸಂಪೂರ್ಣ ವಿವರಣೆ:
linOTP ಸರ್ವರ್‌ನ #IP (ನಮ್ಮ LinOTP ಸರ್ವರ್‌ನ IP ವಿಳಾಸ)
URL=https://172.17.14.103/validate/simplecheck
#LinOTP ವೆಬ್ ಇಂಟರ್‌ಫೇಸ್‌ನಲ್ಲಿ ನಾವು ರಚಿಸುವ ನಮ್ಮ ಪ್ರದೇಶ.)
REALM=ಹಿಂಭಾಗ1
#LinOTP ವೆಬ್ ಮೂತಿಯಲ್ಲಿ ರಚಿಸಲಾದ ಬಳಕೆದಾರರ ಗುಂಪಿನ ಹೆಸರು.
RESCONF=flat_file
#ಐಚ್ಛಿಕ: ಎಲ್ಲವೂ ಸರಿಯಾಗಿ ಕೆಲಸ ಮಾಡುವಂತೆ ತೋರುತ್ತಿದ್ದರೆ ಕಾಮೆಂಟ್ ಮಾಡಿ
ಡೀಬಗ್=ನಿಜ
#ಐಚ್ಛಿಕ: ನೀವು ಸ್ವಯಂ ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಹೊಂದಿದ್ದರೆ ಇದನ್ನು ಬಳಸಿ, ಇಲ್ಲದಿದ್ದರೆ ಕಾಮೆಂಟ್ ಮಾಡಿ (ನಾವು ನಮ್ಮದೇ ಪ್ರಮಾಣಪತ್ರವನ್ನು ರಚಿಸಿದರೆ ಮತ್ತು ಅದನ್ನು ಪರಿಶೀಲಿಸಲು ಬಯಸಿದರೆ SSL)
SSL_CHECK=ತಪ್ಪು

ಮುಂದೆ, ಫೈಲ್ /etc/freeradius/sites-available/linotp ಅನ್ನು ರಚಿಸಿ

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

ಮತ್ತು ಅದರಲ್ಲಿ ಸಂರಚನೆಯನ್ನು ನಕಲಿಸಿ (ಯಾವುದನ್ನೂ ಸಂಪಾದಿಸುವ ಅಗತ್ಯವಿಲ್ಲ):

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

ಮುಂದೆ ನಾವು ಸಿಮ್ ಲಿಂಕ್ ಅನ್ನು ರಚಿಸುತ್ತೇವೆ:

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

ವೈಯಕ್ತಿಕವಾಗಿ, ನಾನು ಡೀಫಾಲ್ಟ್ ರೇಡಿಯಸ್ ಸೈಟ್‌ಗಳನ್ನು ಕೊಲ್ಲುತ್ತೇನೆ, ಆದರೆ ನಿಮಗೆ ಅಗತ್ಯವಿದ್ದರೆ, ನೀವು ಅವುಗಳ ಸಂರಚನೆಯನ್ನು ಸಂಪಾದಿಸಬಹುದು ಅಥವಾ ಅವುಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು.

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

ಈಗ ನಾವು ವೆಬ್ ಮುಖಕ್ಕೆ ಹಿಂತಿರುಗಿ ಮತ್ತು ಅದನ್ನು ಸ್ವಲ್ಪ ಹೆಚ್ಚು ವಿವರವಾಗಿ ನೋಡೋಣ:
ಮೇಲಿನ ಬಲ ಮೂಲೆಯಲ್ಲಿ LinOTP ಕಾನ್ಫಿಗ್ -> UserIdResolvers -> ಹೊಸದನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ
ನಮಗೆ ಬೇಕಾದುದನ್ನು ನಾವು ಆರಿಸಿಕೊಳ್ಳುತ್ತೇವೆ: LDAP (AD ಗೆಲುವು, LDAP ಸಾಂಬಾ), ಅಥವಾ SQL, ಅಥವಾ ಫ್ಲಾಟ್‌ಫೈಲ್ ಸಿಸ್ಟಮ್‌ನ ಸ್ಥಳೀಯ ಬಳಕೆದಾರರು.

ಅಗತ್ಯವಿರುವ ಕ್ಷೇತ್ರಗಳನ್ನು ಭರ್ತಿ ಮಾಡಿ.

ಮುಂದೆ ನಾವು REALMS ಅನ್ನು ರಚಿಸುತ್ತೇವೆ:
ಮೇಲಿನ ಬಲ ಮೂಲೆಯಲ್ಲಿ, LinOTP ಕಾನ್ಫಿಗ್ -> Realms -> New ಅನ್ನು ಕ್ಲಿಕ್ ಮಾಡಿ.
ಮತ್ತು ನಮ್ಮ REALMS ಗೆ ಹೆಸರನ್ನು ನೀಡಿ, ಮತ್ತು ಹಿಂದೆ ರಚಿಸಿದ UserIdResolvers ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡಿ.

FreeRadius ಗೆ ಈ ಎಲ್ಲಾ ಡೇಟಾವು /etc/linotp2/rlm_perl.ini ಫೈಲ್‌ನಲ್ಲಿ ಅಗತ್ಯವಿದೆ, ನಾನು ಮೇಲೆ ಬರೆದಂತೆ, ಆದ್ದರಿಂದ ನೀವು ಅದನ್ನು ಸಂಪಾದಿಸದಿದ್ದರೆ, ಈಗಲೇ ಮಾಡಿ.

ಸರ್ವರ್ ಅನ್ನು ಎಲ್ಲಾ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ.

ಸೇರ್ಪಡೆ:

ಡೆಬಿಯನ್ 9 ನಲ್ಲಿ LinOTP ಅನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ:

ಸ್ಥಾಪನೆ: 

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list 
# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, Debian 9 mysql (mariaDB) ನಲ್ಲಿ ರೂಟ್ ಪಾಸ್‌ವರ್ಡ್ ಹೊಂದಿಸಲು ಅವಕಾಶ ನೀಡುವುದಿಲ್ಲ, ಖಂಡಿತವಾಗಿಯೂ ನೀವು ಅದನ್ನು ಖಾಲಿ ಬಿಡಬಹುದು, ಆದರೆ ನೀವು ಸುದ್ದಿಯನ್ನು ಓದಿದರೆ, ಇದು ಆಗಾಗ್ಗೆ “ಮಹಾಕಾವ್ಯ ವಿಫಲಗೊಳ್ಳುತ್ತದೆ”, ಆದ್ದರಿಂದ ನಾವು ಅದನ್ನು ಹೊಂದಿಸುತ್ತೇವೆ ಹೇಗಾದರೂ)

# mysql -u root -p
use mysql;
UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit
# apt-get install linotp
# apt-get install linotp-adminclient-cli
# apt-get install python-ldap
# apt install freeradius
# nano /etc/freeradius/3.0/sites-enabled/linotp

ಕೋಡ್ ಅನ್ನು ಅಂಟಿಸಿ (JuriM ಮೂಲಕ ಕಳುಹಿಸಲಾಗಿದೆ, ಅದಕ್ಕಾಗಿ ಅವರಿಗೆ ಧನ್ಯವಾದಗಳು!):

ಸರ್ವರ್ linotp {
ಕೇಳು {
ipaddr = *
ಬಂದರು=1812
ಪ್ರಕಾರ = ದೃಢೀಕರಣ
}
ಕೇಳು {
ipaddr = *
ಬಂದರು=1813
ವಿಧ = ಆಕ್ಟ್
}
ಅಧಿಕಾರ {
ಪೂರ್ವ ಪ್ರಕ್ರಿಯೆ
ನವೀಕರಿಸಿ {
&control:Auth-Type := Perl
}
}
ಪ್ರಮಾಣೀಕರಿಸು {
ದೃಢೀಕರಣ-ಪ್ರಕಾರ ಪರ್ಲ್ {
ಪರ್ಲ್
}
}
ಲೆಕ್ಕಪತ್ರ {
ಯುನಿಕ್ಸ್
}
}

ಸಂಪಾದಿಸಿ /etc/freeradius/3.0/mods-enabled/perl

ಪರ್ಲ್ {
ಫೈಲ್ ಹೆಸರು = /usr/share/linotp/radius_linotp.pm
func_authenticate = ಪ್ರಮಾಣೀಕರಿಸು
func_authorize = ಅಧಿಕೃತಗೊಳಿಸಿ
}

ದುರದೃಷ್ಟವಶಾತ್, Debian 9 ರಲ್ಲಿ radius_linotp.pm ಲೈಬ್ರರಿಯನ್ನು ರೆಪೊಸಿಟರಿಗಳಿಂದ ಸ್ಥಾಪಿಸಲಾಗಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾವು ಅದನ್ನು ಗಿಥಬ್‌ನಿಂದ ತೆಗೆದುಕೊಳ್ಳುತ್ತೇವೆ.

# apt install git
# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl
# cd linotp-auth-freeradius-perl/
# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

ಈಗ /etc/freeradius/3.0/clients.conf ಅನ್ನು ಸಂಪಾದಿಸೋಣ

ಕ್ಲೈಂಟ್ ಸರ್ವರ್‌ಗಳು {
ipaddr = 192.168.188.0/24
ರಹಸ್ಯ = ನಿಮ್ಮ ಗುಪ್ತಪದ
}

ಈಗ nano /etc/linotp2/rlm_perl.ini ಅನ್ನು ಸರಿಪಡಿಸೋಣ

ಡೆಬಿಯನ್ 8 ನಲ್ಲಿ ಸ್ಥಾಪಿಸುವಾಗ ನಾವು ಅದೇ ಕೋಡ್ ಅನ್ನು ಅಂಟಿಸುತ್ತೇವೆ (ಮೇಲೆ ವಿವರಿಸಲಾಗಿದೆ)

ಕಲ್ಪನೆಯ ಪ್ರಕಾರ ಅಷ್ಟೆ. (ಇನ್ನೂ ಪರೀಕ್ಷಿಸಲಾಗಿಲ್ಲ)

ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣದೊಂದಿಗೆ ಹೆಚ್ಚಾಗಿ ರಕ್ಷಿಸಬೇಕಾದ ಸಿಸ್ಟಮ್‌ಗಳನ್ನು ಹೊಂದಿಸಲು ನಾನು ಕೆಲವು ಲಿಂಕ್‌ಗಳನ್ನು ಕೆಳಗೆ ಬಿಡುತ್ತೇನೆ:
ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ ಅಪಾಚೆ XXX

Cisco ASA ನೊಂದಿಗೆ ಸೆಟಪ್ ಮಾಡಿ(ಅಲ್ಲಿ ವಿಭಿನ್ನ ಟೋಕನ್ ಪೀಳಿಗೆಯ ಸರ್ವರ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಆದರೆ ASA ನ ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಒಂದೇ ಆಗಿರುತ್ತವೆ).

ಎರಡು ಅಂಶದ ದೃಢೀಕರಣದೊಂದಿಗೆ VPN

ಹೊಂದಾಣಿಕೆ ssh ನಲ್ಲಿ ಎರಡು ಅಂಶ ದೃಢೀಕರಣ (LinOTP ಅನ್ನು ಸಹ ಅಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ) - ಲೇಖಕರಿಗೆ ಧನ್ಯವಾದಗಳು. ಅಲ್ಲಿ ನೀವು LiOTP ನೀತಿಗಳನ್ನು ಹೊಂದಿಸುವುದರ ಕುರಿತು ಆಸಕ್ತಿದಾಯಕ ವಿಷಯಗಳನ್ನು ಸಹ ಕಾಣಬಹುದು.

ಅಲ್ಲದೆ, ಅನೇಕ ಸೈಟ್‌ಗಳ ಸೆಂ ಎರಡು-ಅಂಶ ದೃಢೀಕರಣವನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ (ವರ್ಡ್‌ಪ್ರೆಸ್‌ಗಾಗಿ, LinOTP ಸಹ ತನ್ನದೇ ಆದ ವಿಶೇಷ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಹೊಂದಿದೆ GitHub), ಉದಾಹರಣೆಗೆ, ಕಂಪನಿಯ ಉದ್ಯೋಗಿಗಳಿಗಾಗಿ ನಿಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ವೆಬ್‌ಸೈಟ್‌ನಲ್ಲಿ ನೀವು ಸಂರಕ್ಷಿತ ವಿಭಾಗವನ್ನು ಮಾಡಲು ಬಯಸಿದರೆ.
ಪ್ರಮುಖ ಸತ್ಯ! Google Authenticator ಅನ್ನು ಬಳಸಲು "Google autenteficator" ಬಾಕ್ಸ್ ಅನ್ನು ಪರಿಶೀಲಿಸಬೇಡಿ! ಆಗ QR ಕೋಡ್ ಅನ್ನು ಓದಲಾಗುವುದಿಲ್ಲ... (ವಿಚಿತ್ರ ಸಂಗತಿ)

ಈ ಲೇಖನವನ್ನು ಬರೆಯಲು, ಈ ಕೆಳಗಿನ ಲೇಖನಗಳ ಮಾಹಿತಿಯನ್ನು ಬಳಸಲಾಗಿದೆ:
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

ಲೇಖಕರಿಗೆ ಧನ್ಯವಾದಗಳು.

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ