🥇LinOTP XNUMX단계 인증 서버

오늘은 기업 네트워크, 사이트, 서비스, SSH를 보호하기 위해 이중 인증 서버를 설정하는 방법을 공유하고 싶습니다. 서버는 LinOTP + FreeRadius 조합을 실행합니다.

왜 필요한가요?
이는 제XNUMX자 제공업체와 관계없이 자체 네트워크 내에서 완전히 무료로 제공되는 편리한 솔루션입니다.

이 서비스는 다른 오픈소스 제품과 달리 매우 편리하고 시각적이며, 수많은 기능과 정책(예: 로그인+비밀번호+(PIN+OTTPoken))도 지원합니다. API를 통해 SMS 전송 서비스(LinOTP Config->Provider Config->SMS Provider)와 통합하고 Google Authentificator 등과 같은 모바일 애플리케이션용 코드를 생성합니다. 위에서 말씀드린 서비스보다 더 편리한 것 같아요 기사.

이 서버는 Cisco ASA, OpenVPN 서버, Apache2 및 일반적으로 RADIUS 서버를 통한 인증을 지원하는 거의 모든 것과 완벽하게 작동합니다(예: 데이터 센터의 SSH용).

필수 :

1) 데비안 8(제시) - 필수! (Debian 9의 평가판 설치는 기사 마지막 부분에 설명되어 있습니다)

홈 :

데비안 8을 설치합니다.

LinOTP 저장소를 추가합니다.

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

키 추가:

# gpg --search-keys 913DFF12F86258E5

가끔 "새로" 설치하는 동안 이 명령을 실행하면 데비안에 다음이 표시됩니다:

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

이것이 초기 gnupg 설정입니다. 괜찮아요. 명령을 다시 실행하면 됩니다.
데비안의 질문에:

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

우리는 대답합니다: 1

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

MySQL을 설치합니다. 이론적으로는 다른 SQL Server를 사용할 수도 있지만 단순화를 위해 LinOTP에 권장되는 대로 사용하겠습니다.

(LinOTP 데이터베이스 재구성을 포함한 추가 정보는 공식 문서에서 찾을 수 있습니다. 링크. 이미 mysql을 설치한 경우 dpkg-reconfigure linotp 명령을 사용하여 매개변수를 변경할 수도 있습니다.

# apt-get install mysql-server

# apt-get update

(업데이트를 다시 확인하는 것도 나쁘지 않을 것입니다)
LinOTP 및 추가 모듈을 설치합니다.

# apt-get install linotp

설치 프로그램의 질문에 답변합니다.
Apache2 사용: 예
관리자 Linotp의 비밀번호 생성: "귀하의 비밀번호"
자체 서명된 인증서를 생성하시겠습니까?: 예
MySQL을 사용하시겠습니까?: 예
데이터베이스는 어디에 있습니까: localhost
서버에 LinOTP 데이터베이스(기본 이름) 만들기: LinOTP2
데이터베이스에 대한 별도의 사용자 생성: LinOTP2
사용자의 비밀번호는 "Your Password"입니다.
지금 데이터베이스를 만들어야 합니까? (“정말로...을 원하시나요?”와 같은 것): 예
설치 시 생성한 MySQL 루트 비밀번호를 입력하세요: “YourPassword”
완료.

(선택사항이므로 설치하지 않아도 됩니다)

# apt-get install linotp-adminclient-cli

(선택사항이므로 설치하지 않아도 됩니다)

# apt-get install libpam-linotp

이제 Linotp 웹 인터페이스를 다음에서 사용할 수 있습니다.

"<b>https</b>: //IP_сервера/manage"

나중에 웹 인터페이스의 설정에 대해 이야기하겠습니다.

이제 가장 중요한 것! FreeRadius를 올리고 Linotp와 연결합니다.

LinOTP 작업을 위한 FreeRadius 및 모듈 설치

# apt-get install freeradius linotp-freeradius-perl

클라이언트 및 사용자 반경 구성을 백업합니다.

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

빈 클라이언트 파일을 만듭니다.

# touch /etc/freeradius/clients.conf

새 구성 파일 편집(백업된 구성을 예로 사용할 수 있음)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

다음으로 사용자 파일을 만듭니다.

# touch /etc/freeradius/users

파일을 편집하여 Radius에서 인증에 Perl을 사용할 것임을 알립니다.

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

다음으로 /etc/freeradius/modules/perl 파일을 편집합니다.

# nano /etc/freeradius/modules/perl

모듈 매개변수에 perl linotp 스크립트의 경로를 지정해야 합니다:

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

.....
다음으로 데이터를 가져올 파일(도메인, 데이터베이스 또는 파일)을 지정하는 파일을 만듭니다.

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

중요하기 때문에 여기서 좀 더 자세히 설명하겠습니다.

주석이 포함된 파일에 대한 전체 설명:
#linOTP 서버의 IP(LinOTP 서버의 IP 주소)
URL=https://172.17.14.103/validate/simplecheck
#LinOTP 웹 인터페이스에서 생성할 영역입니다.)
REALM=재육성1
#LinOTP 웹 총구에 생성된 사용자 그룹의 이름입니다.
RESCONF=플랫_파일
#선택 사항: 모든 것이 잘 작동하는 것 같으면 주석 처리
디버그=참
#선택사항: 자체 서명된 인증서가 있는 경우 이를 사용하고, 그렇지 않으면 주석 처리합니다(자체 인증서를 생성하고 이를 확인하려는 경우 SSL).
SSL_CHECK=거짓

다음으로 /etc/freeradius/sites-available/linotp 파일을 생성합니다.

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

그리고 구성을 여기에 복사합니다(아무 것도 편집할 필요 없음).

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

다음으로 SIM 링크를 생성하겠습니다.

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

개인적으로 저는 기본 Radius 사이트를 종료하지만, 필요한 경우 해당 구성을 편집하거나 비활성화할 수 있습니다.

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

이제 웹 페이스로 돌아가서 좀 더 자세히 살펴보겠습니다.
오른쪽 상단에서 LinOTP Config -> UserIdResolvers -> New를 클릭합니다.
LDAP(AD win, LDAP samba), SQL 또는 Flatfile 시스템의 로컬 사용자 중에서 원하는 것을 선택합니다.

필수 입력란을 작성하세요.

다음으로 REALMS를 생성합니다.
오른쪽 상단에서 LinOTP Config -> Realms -> New를 클릭합니다.
REALMS에 이름을 지정하고 이전에 생성된 UserIdResolvers를 클릭합니다.

FreeRadius는 위에 쓴 것처럼 /etc/linotp2/rlm_perl.ini 파일에 이 모든 데이터가 필요하므로 당시 편집하지 않았다면 지금 편집하십시오.

서버가 모두 구성되었습니다.

추가 :

Debian 9에서 LinOTP 설정하기:

Установка :

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(기본적으로 Debian 9에서 mysql(mariaDB)은 루트 비밀번호 설정을 제공하지 않습니다. 물론 비워 둘 수 있지만 뉴스를 읽으면 이는 종종 "대단한 실패"로 이어지므로 설정하겠습니다. 그래도)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

코드를 붙여넣으세요(JuriM이 보냈습니다. 감사합니다!):

서버 linotp {
듣다 {
ipaddr = *
포트 = 1812
유형=인증
}
듣다 {
ipaddr = *
포트 = 1813
유형 = 계정
}
승인하다 {
전처리
업데이트 {
&control:Auth-Type := Perl
}
}
인증하다 {
인증 유형 Perl {
펄
}
}
회계 {
유닉스
}
}

/etc/freeradius/3.0/mods-enabled/perl 편집

펄 {
파일 이름 = /usr/share/linotp/radius_linotp.pm
func_authenticate = 인증
func_authorize = 승인
}

불행히도 Debian 9에서는 radius_linotp.pm 라이브러리가 리포지토리에서 설치되지 않으므로 github에서 가져옵니다.

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

이제 /etc/freeradius/3.0/clients.conf를 편집해 보겠습니다.

클라이언트 서버 {
ipaddr = 192.168.188.0/24
비밀 = 당신의 비밀번호
}

이제 nano /etc/linotp2/rlm_perl.ini를 수정해 보겠습니다.

Debian 8에 설치할 때와 동일한 코드를 붙여넣습니다(위에서 설명).

그것은 모두 그 생각에 따른 것입니다. (아직 테스트되지 않음)

이중 인증으로 가장 자주 보호해야 하는 시스템 설정에 대한 몇 가지 링크를 아래에 남겨두겠습니다.
이중 인증 설정 Apache2

Cisco ASA로 설정(다른 토큰 생성 서버가 사용되지만 ASA 자체의 설정은 동일합니다.)

이중 인증 기능을 갖춘 VPN

조정 SSH의 XNUMX단계 인증 (LinOTP도 사용됩니다.) - 저자에게 감사드립니다. LiOTP 정책 설정에 대한 흥미로운 내용도 찾을 수 있습니다.

또한 많은 사이트의 cms는 XNUMX단계 인증을 지원합니다(WordPress의 경우 LinOTP에는 github), 예를 들어 회사 직원을 위해 회사 웹사이트에 보호된 섹션을 만들려는 경우입니다.
중요한 사실! Google OTP를 사용하기 위해 "Google autenteficator" 상자를 선택하지 마십시오! 그러면 QR코드를 읽을 수 없습니다... (이상한 사실)

이 기사를 작성하기 위해 다음 기사의 정보가 사용되었습니다.
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

저자에게 감사드립니다.

출처 : habr.com

LinOTP 이중 인증 서버

코멘트를 추가 답장을 취소