Necessitas remotam accessum praebere ad ambitum corporatum, magis ac saepius oritur, nihil refert utrum usores tui vel socii tui sint qui certo servo in tua ordinatione accessum egent.
Ad haec, plurimae societates technologiae VPN utuntur, quae se probavit fideliter tutandam esse viam praebendi accessum ad facultates locales ordinandi.
Societas mea nulla exceptione erat, et nos, sicut multi alii, hac arte utimur. Et, ut multi alii, Cisco ASA 55xx utimur ut aditus portae remotae.
Cum numerus utentium remotiorum augeatur, simpliciorem reddere opus est ad ferendis documentorum rationem. Sed simul hoc sine ullo periculo faciendum est.
Nobis solutionem invenimus in utendo authenticas duos factores per Cisco SSL VPN coniungendi, utendo uno tempore passwords. Atque haec publication tibi narrabit quomodo talem solutionem cum minimo tempore et nulla sumptibus necessariis instituere (dummodo Cisco ASA iam in tua infrastructura habeas).
Forum plenum solutionibus cohibentibus pro uno tempore generando passwords, cum multam optiones ad eas obtinendas offerat, tessera per SMS vel tesseram mittens vel utens signis, tam ferramentis quam programmatis (exempli gratia, in telephono mobili). Sed desiderium pecuniae servandi et desiderium pecuniae servandi pro domino meo, in discrimine praesenti, liberum me invenire coegit viam ad efficiendum servitium pro uno tempore generandi passwords. Quod, cum liberum, solutionibus commercialibus non multum inferior (hic reservationem facere debeamus, notans hoc productum versionem etiam commercialem habere, sed constat nostros sumptus in pecunia nullas esse).
Ita, si opus est,
- Linux imago cum constructo instrumentorum instrumentorum - multiOTP, FreeRADIUS et nginx, in accessu servo per telam (http://download.multiotp.net/ - imaginem paratae factae pro VMware usus sum)
- Active Directory Servo
β Cisco ASA ipsa (ad commodum, utar ASDM)
- Quodlibet signum programmatum qui TOTP mechanismum sustinet (Ego, exempli gratia, utor Google Authenticatoris, sed idem FreeOTP facturus)
Singula quomodo imago explicat. Quam ob rem, recipies Linux Debian cum multiOTP et FreeRADIUS iam inauguratum, conformatum ad conlaborandum, et interfaciem interfaciendi OTP administrationis.
Gradus 1. Nos systema inchoare et configurare pro retis
Defalta ratio cum radicibus documentorum radicibus venit. Coniecerunt omnes puto utilem fore mutandi radicem usoris tesserae post primum login. Etiam opus est ut occasus retis mutare (defaltam est '192.168.1.44' cum porta '192.168.1.1'). Postea reboot ratio potes.
Faciamus user in Active Directory otp*Cum password MySuperPassword.
Gradus 2. constitue nexum et import Active Directory users
Ad hoc opus est aditus ad consolatorium et directe ad tabellam multiotp.phpadhibitis quibus uncinis ad Directory activos nexum configurabimus.
Vade ad directorium /usr/loci/bin/multiotp/ et ea quae sequuntur imperata faciunt;
./multiotp.php -config default-request-prefix-pin=0Decernit an additional (permanens) pin non requiritur intrantes unum tempus pin (0 vel I)
./multiotp.php -config default-request-ldap-pwd=0Decernit an a domain password non requiritur intrantes unum tempus pin (0 vel I)
./multiotp.php -config ldap-server-type=1Genus LDAP servo significatur (0 = servo LDAP regularis, in casu nostro 1 = Active Directory)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"Formam designat in qua nomen usoris exhibendi (hic valor solum nomen sine dominio ostendet)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"Idem, solum coetus
./multiotp.php -config ldap-group-attribute="memberOf"Specificatur methodum determinandi an a user pertineat ad coetum
./multiotp.php -config ldap-ssl=1Si utar fida connexione ad LDAP server (sane, sic!)
./multiotp.php -config ldap-port=636Portum pro connectens in LDAP servo
./multiotp.php -config ldap-domain-controllers=adSRV.domain.localActive Directory servo oratio tua
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"Indicamus ubi incipias quaerendo users in domain
./multiotp.php -config ldap-bind-dn="[email protected]"Specificare usorem qui iura habet in Active Directory
./multiotp.php -config ldap-server-password="MySuperPassword"Specificare in user password ut Active Directory coniungere
./multiotp.php -config ldap-network-timeout=10Profecta timeout connectens ad Active Directory
./multiotp.php -config ldap-time-limit=30Constituimus terminum pro user import operandi
./multiotp.php -config ldap-activated=1Active activum configuratione Directory iunctio
./multiotp.php -debug -display-log -ldap-users-syncInferre users de Active Directory
Gradus 3. QR code generare ad indicium
Omnia hic simplicissima sunt. Telam interfaciem aperi OTP server in navigatro, aperi in (nolite oblivisci mutare tesseram default pro admin!), et deprime in "Printer" conjunctionem:
Effectus huius actionis erit pagina quae duos QR codes continet. Audacter primum illorum neglegemus (non obstante speciosa inscriptione Google Authenticator / Authenticator / 2 Graduum Authenticator), et iterum audacter secundum codicem in signum programmatis telephonici percurrimus:
(sic, QR codicem de industria corrupit ut unreadabilem redderet).
His actionibus peractis, tessera sex digiti singulis triginta secundis in applicatione tua generari incipiet.
Profecto potes in eodem instrumento coercere;
Ingressus usoris tesseram tuam et unum tempus ex applicatione in telephonum gestabile est. Nonne positivum responsio accipere? Sic pergemus.
Gradus 4. Additional configuration and probatio FreeRADIUS operandi
Ut supra monui, multiOTP iam configurati sunt cum FreeRADIUS operandi, omnia quae restant probationes currere et informationes de nostra VPN porta ad FreeRADIUS tabellam configurationis addere.
Redimus servo consolatorio ad indicem /usr/loci/bin/multiotp/intra:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1Complectens accuratiorem logging.
In FreeRADIUS clientium configuratio (/etc/freeradius/clinets.conf) Omnes lineas ad comment localhost et duos entries adde:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}- for test
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}β pro porta nostra VPN.
Sileo FreeRADIUS conantur aperi:
radtest username 100110 localhost 1812 testing321quibus More = username, 100110 = tessera data nobis per telephonum in applicatione; localhost = RADIUS servo inscriptione; 1812 β RADIUS servo portum; testing321 - RADIUS servo clientis tesserae (quam in aboutconfig designamus).
Effectus huius praecepti erit output ut proxime sequitur:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20Nunc nobis opus est efficere ut utensilia consignetur. Ad hoc ipsum stipem multiotp spectabimus;
tail /var/log/multiotp/multiotp.logEt si ultimum ingressum est:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1Tum omnia bona et perficere possumus
Step V: Configure Cisco ASA
Conveniant nos iam figuram habere coetus et consilia ad accessum per SLL VPN, in conjunctione cum Directorio activo configuratum, et opus est duos factores authenticas huius profile addere.
1. Adde novam AAA server group:
2. MultiOTP nostrum ad coetum vocandum adde:
3. Nos edit nexum profileActive Directory servo group constituens ut principalis authenticas server:
4. In tab Provectus -> authenticitate Etiam nos coetus servo Directory activos eligimus:
5. In tab Provectus -> secundarius authenticas, elige coetus serverni creatum in quo multiOTP server inscriptus est. Nota Sessionem usoris possideri e coetus primariis AAA servitoris:
Applicare occasus ac
Gradus VI, aka ultimum
Sit scriptor reprehendo si duo-factor pro SLL VPN authenticas operatur:
Voila! Cum via Cisco AnyConnect VPN Client coniungens, etiam rogaberis tesseram unius temporis.
Spero hunc articulum iuvaturum aliquem, et daturum aliquem praemeditari quo hoc modo utatur; liberi OTP servo, ad alia opera. Partis commentarios si vis.
Source: www.habr.com