🥇Freeradius + Google OTP + LDAP + Fortigate

이중 인증이 바람직하고 가시적이지만 하드웨어 토큰에 대한 돈이 없고 일반적으로 좋은 분위기를 유지하도록 제안한다면 어떨까요?

이 솔루션은 매우 독창적인 것이 아니라 인터넷에서 찾을 수 있는 다양한 솔루션을 혼합한 것입니다.

그래서 주어진

도메인 이름 Active Directory의.

오늘날 많은 사람들처럼 VPN을 통해 작업하는 도메인 사용자.

VPN 게이트웨이 역할을 합니다. 요새.

VPN 클라이언트의 비밀번호 저장은 보안 정책에 의해 금지되어 있습니다.

정치 포티넷 자신의 토큰과 관련하여 zhlob 미만이라고 부를 수는 없습니다. 최대 10개의 무료 토큰이 있고 나머지는 매우 코셔 가격이 아닙니다. 나는 오픈 소스를 원하기 때문에 RSASecureID, Duo 등을 고려하지 않았습니다.

전제 조건: 주인 *아니야 설립 하여 FreeRADIUS, SSD - 도메인에 입력하면 도메인 사용자가 쉽게 인증할 수 있습니다.

추가 패키지: 쉘리나 상자, 무화과, 자유 반경 LDAP, 폰트 반란군.tlf 저장소에서 https://github.com/xero/figlet-fonts.

내 예에서-CentOS 7.8.

작업 논리는 다음과 같습니다. VPN에 연결할 때 사용자는 암호 대신 도메인 로그인과 OTP를 입력해야 합니다.

서비스 설정

В /etc/raddb/radiusd.conf 대신 시작하는 사용자 및 그룹만 하여 FreeRADIUS, 서비스 이후 반지름 모든 하위 디렉토리의 파일을 읽을 수 있어야 합니다. /집/.

user = root
group = root

설정에서 그룹을 사용하려면 요새, 전송해야 함 공급업체별 속성. 이렇게 하려면 디렉토리에서 raddb/policy.d 다음 내용으로 파일을 만듭니다.

group_authorization {
    if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
            update reply {
                &Fortinet-Group-Name = "vpn_admins" }
            update control {
                &Auth-Type := PAM
                &Reply-Message := "Welcome Admin"
                }
        }
    else {
        update reply {
        &Reply-Message := "Not authorized for vpn"
            }
        reject
        }
}

설치 후 자유 반경 LDAP 디렉토리에서 raddb/mods-사용 가능 파일이 생성됨 LDAP.

디렉터리에 대한 심볼릭 링크를 만들어야 합니다. raddb/mods-활성화.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

내용을 다음 형식으로 가져옵니다.

ldap {
        server = 'domain.local'
        identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
        password = "SupeSecretP@ssword"
        base_dn = 'dc=domain,dc=local'
        sasl {
        }
        user {
                base_dn = "${..base_dn}"
                filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
                sasl {
                }
                scope = 'sub'
        }
        group {
                base_dn = "${..base_dn}"
                filter = '(objectClass=Group)'
                scope = 'sub'
                name_attribute = cn
                membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
                membership_attribute = 'memberOf'
        }
}

파일에서 raddb/사이트 활성화/기본값 и raddb/사이트 활성화/내부 터널 섹션에서 권한을 부여하다 사용할 정책 이름인 group_authorization을 추가합니다. 중요한 점 - 정책의 이름은 디렉토리의 파일 이름으로 결정되지 않습니다. 정책.d, 그러나 중괄호 앞의 파일 내부 지시문에 의해.
섹션에서 인증 동일한 파일에서 줄의 주석을 제거해야 합니다. PAM.

파일에서 클라이언트.conf 연결할 매개 변수를 지정하십시오. 요새:

client fortigate {
    ipaddr = 192.168.1.200
    secret = testing123
    require_message_authenticator = no
    nas_type = other
}

모듈 구성 pam.d/radiusd:

#%PAM-1.0
auth       sufficient   pam_google_authenticator.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    include      password-auth

기본 번들 구현 옵션 하여 FreeRADIUS с Google 인증 자 사용자가 다음 형식으로 자격 증명을 입력하도록 요구합니다. 사용자 이름/비밀번호+OTP.

기본 묶음 사용 시 머리에 떨어질 저주의 수를 상상하여 하여 FreeRADIUS с 구글 인증 자, 모듈 구성을 사용하기로 결정했습니다. PAM 토큰만 확인할 수 있도록 구글 인증 자.

사용자가 연결하면 다음이 발생합니다.

Freeradius는 사용자가 도메인과 특정 그룹에 있는지 확인하고 성공하면 OTP 토큰을 확인합니다.

“어떻게 300명 이상의 OTP를 등록할 수 있을까?”

사용자는 다음을 사용하여 서버에 로그인해야 합니다. 하여 FreeRADIUS 귀하의 계정에서 응용 프로그램을 실행하십시오. 구글 인증 자, 사용자를 위한 애플리케이션의 QR 코드를 생성합니다. 도움이 들어오는 곳입니다. 쉘리나 상자 와 함께 .bash_profile.

[root@freeradius ~]# yum install -y shellinabox

데몬 구성 파일은 다음 위치에 있습니다. /etc/sysconfig/shellinabox.
거기에 포트 443을 지정하고 인증서를 지정할 수 있습니다.

[root@freeradius ~]#systemctl enable --now shellinaboxd

사용자는 링크를 따라 도메인 크레딧을 입력하고 응용 프로그램에 대한 QR 코드를 받기만 하면 됩니다.

알고리즘은 다음과 같습니다.

사용자는 브라우저를 통해 시스템에 로그인합니다.
도메인 사용자의 선택 여부입니다. 그렇지 않은 경우 아무 조치도 취하지 않습니다.
사용자가 도메인 사용자인 경우 관리자 그룹의 구성원이 확인됩니다.
관리자가 아닌 경우 Google Authenticator가 구성되어 있는지 확인합니다. 그렇지 않은 경우 QR 코드와 사용자 로그아웃이 생성됩니다.
관리자가 아니고 Google Authenticator가 구성되어 있으면 로그아웃하십시오.
관리자인 경우 Google Authenticator를 다시 확인하십시오. 구성되지 않은 경우 QR 코드가 생성됩니다.

모든 논리는 다음을 사용하여 수행됩니다. /etc/skel/.bash_profile.

고양이 /etc/skel/.bash_profile

# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs
# Make several commands available from user shell

if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
  then
    [[ ! -d $HOME/bin ]] && mkdir $HOME/bin
    [[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
    [[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
    [[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
    [[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
    [[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
    [[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
  # Set PATH env to <home user directory>/bin
    PATH=$HOME/bin
    export PATH
  else
    PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
    export PATH
fi


if [[ -n $(id $USER | grep "domain users") ]]
  then
    if [[ ! -e $HOME/.google_authenticator ]]
      then
        if [[ -n $(id $USER | grep "admins") ]]
          then
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
          else
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password to VPN."
            logout
        fi
      else
        echo "You have already setup a Google Authenticator"
        if [[ -z $(id $USER | grep "admins") ]]
          then
          logout
        fi
    fi
  else
    echo "You don't need to set up a Google Authenticator"
fi

포티게이트 설정:

창조하다 반지름-섬기는 사람
필요한 그룹을 생성하고 필요한 경우 그룹별로 액세스 제어합니다. 그룹 이름 사용 요새 전달된 그룹과 일치해야 합니다. 공급업체별 속성 Fortinet-그룹-이름.
필요한 편집 SSL- 포털.
정책에 그룹 추가.

이 솔루션의 장점:

에서 OTP 인증이 가능합니다. 요새 오픈 소스 솔루션.
사용자는 VPN을 통해 연결할 때 도메인 암호를 입력하지 않으므로 연결 프로세스가 다소 간소화됩니다. 6자리 비밀번호는 보안정책에서 제공하는 비밀번호보다 입력하기 쉽습니다. 결과적으로 "VPN에 연결할 수 없습니다"라는 제목의 티켓 수가 줄어듭니다.

추신: 이 솔루션을 Challenge-Response가 포함된 본격적인 이중 인증으로 업그레이드할 계획입니다.

업데이트 :

약속대로 챌린지-응답 옵션으로 조정했습니다.
그래서 :
파일에서 /etc/raddb/sites-enabled/default 섹션 권한을 부여하다 다음과 같습니다 :

authorize {
    filter_username
    preprocess
    auth_log
    chap
    mschap
    suffix
    eap {
        ok = return
    }
    files
    -sql
    #-ldap
    expiration
    logintime
    if (!State) {
        if (&User-Password) {
            # If !State and User-Password (PAP), then force LDAP:
            update control {
                Ldap-UserDN := "%{User-Name}"
                Auth-Type := LDAP
            }
        }
        else {
            reject
        }
    }
    else {
        # If State, then proxy request:
        group_authorization
    }
pap
}

섹션 인증 이제 다음과 같이 보입니다.

authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        # Attempt authentication with a direct LDAP bind:
        Auth-Type LDAP {
        ldap
        if (ok) {
            update reply {
                # Create a random State attribute:
                State := "%{randstr:aaaaaaaaaaaaaaaa}"
                Reply-Message := "Please enter OTP"
                }
            # Return Access-Challenge:
            challenge
            }
        }
        pam
        eap
}

이제 다음 알고리즘에 따라 사용자 확인이 이루어집니다.

사용자는 VPN 클라이언트에 도메인 크레딧을 입력합니다.
Freeradius는 계정과 암호의 유효성을 확인합니다.
암호가 정확하면 토큰 요청이 전송됩니다.
토큰을 확인 중입니다.
이익).

출처 : habr.com

Freeradius + Google OTP + LDAP + Fortigate

그래서 주어진

서비스 설정

포티게이트 설정:

업데이트 :

코멘트를 추가 답장을 취소