Mipoitra matetika ny filana manome fidirana lavitra amin'ny tontolon'ny orinasa, na ny mpampiasa anao na ny mpiara-miombon'antoka no mila fidirana amin'ny mpizara manokana ao amin'ny fikambananao.
Ho an'ireo tanjona ireo, ny ankamaroan'ny orinasa dia mampiasa teknolojia VPN, izay nanaporofo ny tenany ho fomba azo antoka azo antoka amin'ny fanomezana fidirana amin'ny loharanon'ny fikambanana eo an-toerana.
Tsy naningana ny orinasako, ary izahay, tahaka ny maro hafa, dia mampiasa io teknolojia io. Ary, tahaka ny maro hafa, mampiasa Cisco ASA 55xx ho vavahady fidirana lavitra izahay.
Rehefa mitombo ny isan'ny mpampiasa lavitra dia ilaina ny manatsotra ny fomba famoahana ny fahazoan-dΓ lana. Saingy miaraka amin'izay koa, tsy maintsy atao izany tsy misy mampandefitra ny fiarovana.
Ho an'ny tenanay, nahita vahaolana izahay tamin'ny fampiasana fanamarinana roa sosona ho an'ny fifandraisana amin'ny alalan'ny Cisco SSL VPN, amin'ny fampiasana tenimiafina indray mandeha. Ary ity publication ity dia hilaza aminao ny fomba hikarakarana vahaolana toy izany miaraka amin'ny fotoana faran'izay kely sy tsy misy vidiny ho an'ny rindrambaiko ilaina (raha toa ka efa manana Cisco ASA ianao ao amin'ny fotodrafitrasa misy anao).
Feno vahaolana feno baoritra amin'ny famoronana tenimiafina indray mandeha ny tsena, sady manolotra safidy maro ahazoana azy ireo, na ny fandefasana ny tenimiafina amin'ny alΓ lan'ny SMS na ny fampiasana marika, na fitaovana na rindrambaiko (ohatra, amin'ny finday). Saingy ny faniriana hitsitsy vola sy ny faniriana hanangom-bola ho an'ny mpampiasa ahy, ao anatin'ny krizy ankehitriny, dia nanery ahy hitady fomba malalaka hampiharana serivisy amin'ny famoronana tenimiafina indray mandeha. Izay, na dia maimaim-poana aza, dia tsy latsa-danja kokoa amin'ny vahaolana ara-barotra (eto isika dia tokony hanao famandrihana, manamarika fa ity vokatra ity dia manana dikan-teny ara-barotra ihany koa, saingy nanaiky izahay fa ho aotra ny vidiny, amin'ny vola).
Ka, mila:
- Sary Linux miaraka amin'ny fitaovana namboarina - multiOTP, FreeRADIUS ary nginx, hidirana amin'ny server amin'ny alΓ lan'ny tranonkala (http://download.multiotp.net/ - Nampiasa sary efa vita ho an'ny VMware aho)
β Active Directory Server
- Cisco ASA mihitsy (ho fanamorana, mampiasa ASDM aho)
- Izay mari-pamantarana rindrambaiko izay manohana ny mekanika TOTP (Izaho, ohatra, dia mampiasa Google Authenticator, fa ny FreeOTP ihany no hatao)
Tsy hiditra amin'ny antsipiriany momba ny fizotry ny sary aho. Vokatr'izany dia hahazo Debian Linux ianao miaraka amin'ny multiOTP sy FreeRADIUS efa napetraka, namboarina hiara-hiasa, ary interface tsara ho an'ny fitantanana OTP.
Dingana 1. Manomboka ny rafitra izahay ary manamboatra azy ho an'ny tambajotrao
Amin'ny alΓ lan'ny default, ny rafitra dia miaraka amin'ny fahazoan-dΓ lana faka faka. Heveriko fa eritreretin'ny rehetra fa hevitra tsara ny manova ny tenimiafina mpampiasa root aorian'ny fidirana voalohany. Mila ovainao koa ny firafitry ny tambajotra (amin'ny alΓ lan'ny default dia '192.168.1.44' miaraka amin'ny vavahady '192.168.1.1'). Aorian'izay dia azonao atao ny mamerina ny rafitra.
Andao hamorona mpampiasa iray ao amin'ny Active Directory otp, miaraka amin'ny tenimiafina MySuperPassword.
Dingana 2. Amboary ny fifandraisana ary manafatra mpampiasa Active Directory
Mba hanaovana izany, mila miditra amin'ny console isika, ary mivantana amin'ny rakitra multiotp.php, izay hampiasaintsika amin'ny fandrindrana ny fifandraisana amin'ny Active Directory.
Mandehana any amin'ny lahatahiry /usr/local/bin/multiotp/ ary tanteraho ireto baiko manaraka ireto:
./multiotp.php -config default-request-prefix-pin=0Mamaritra raha ilaina ny pin fanampiny (maharitra) rehefa mampiditra pin indray mandeha (0 na 1)
./multiotp.php -config default-request-ldap-pwd=0Mamaritra raha ilaina ny tenimiafina domaine rehefa mampiditra pin indray mandeha (0 na 1)
./multiotp.php -config ldap-server-type=1Ny karazana mpizara LDAP dia aseho (0 = mpizara LDAP mahazatra, amin'ny tranga misy antsika 1 = Active Directory)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"Mamaritra ny endrika hanehoana ny solonanarana (ny anarana ihany no asehon'io sanda io, tsy misy ny sehatra)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"Mitovy ihany, ho an'ny vondrona ihany
./multiotp.php -config ldap-group-attribute="memberOf"Manome fomba hamaritana raha anisan'ny vondrona ny mpampiasa iray
./multiotp.php -config ldap-ssl=1Tokony hampiasa fifandraisana azo antoka amin'ny mpizara LDAP ve aho (mazava ho azy, eny!)
./multiotp.php -config ldap-port=636Seranan'ny fifandraisana amin'ny mpizara LDAP
./multiotp.php -config ldap-domain-controllers=adSRV.domain.localNy adiresinao mpizara Active Directory
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"Tondroinay ny toerana hanombohana hikaroka mpampiasa ao amin'ny sehatra
./multiotp.php -config ldap-bind-dn="[email protected]"Manondro mpampiasa manana zo hikaroka ao amin'ny Active Directory
./multiotp.php -config ldap-server-password="MySuperPassword"Lazao ny tenimiafina mpampiasa hifandraisana amin'ny Active Directory
./multiotp.php -config ldap-network-timeout=10Fametrahana ny fe-potoana hifandraisana amin'ny Active Directory
./multiotp.php -config ldap-time-limit=30Nametraka fe-potoana ho an'ny fanafarana mpampiasa izahay
./multiotp.php -config ldap-activated=1Fampahavitrihana ny fandrindrana fifandraisana Active Directory
./multiotp.php -debug -display-log -ldap-users-syncManafatra mpampiasa avy amin'ny Active Directory izahay
Dingana 3. Mamorona kaody QR ho an'ny marika
Tsotra ny zava-drehetra eto. Sokafy ny tranonkalan'ny mpizara OTP ao amin'ny navigateur, midira (aza adino ny manova ny tenimiafina default ho an'ny admin!), Ary tsindrio ny bokotra "Print":
Ny vokatr'ity hetsika ity dia pejy misy kaody QR roa. Sahy tsy miraharaha ny voalohany amin'izy ireo izahay (na dia eo aza ny soratra manintona Google Authenticator / Authenticator / 2 Steps Authenticator), ary sahy mijery indray ny kaody faharoa ho marika rindrambaiko amin'ny telefaona:
(eny, ninia nanimba ny kaody QR aho mba tsy ho voavaky).
Rehefa vita ireo hetsika ireo, dia hisy tenimiafina enina isaina hatomboka ao amin'ny fampiharanao isaky ny telopolo segondra.
Mba hahazoana antoka dia azonao atao ny manamarina izany amin'ny interface iray ihany:
Amin'ny alalan'ny fampidirana ny solonanarana sy tenimiafina indray mandeha avy amin'ny fampiharana amin'ny findainao. Nahazo valiny tsara ve ianao? Dia mandroso isika.
Dingana 4. Fanamafisana fanampiny sy fitsapana ny asa FreeRADIUS
Araka ny efa nolazaiko tetsy ambony dia efa namboarina ny multiOTP hiara-miasa amin'ny FreeRADIUS, ny hany sisa tavela dia ny fanaovana fitiliana sy ny fampidirana vaovao momba ny vavahadin-tsika VPN mankany amin'ny rakitra fanamafisana FreeRADIUS.
Miverina any amin'ny console server izahay, mankany amin'ny lahatahiry /usr/local/bin/multiotp/, midira:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1Ao anatin'izany ny fandraketana an-tsoratra amin'ny antsipiriany kokoa.
Ao amin'ny rakitra fanamafisana mpanjifa FreeRADIUS (/etc/freeradius/clinets.conf) asehoy ny andalana rehetra mifandraika amin'ny localhost ary ampio entries roa:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}- ho an'ny fitsapana
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}β ho an'ny vavahadin-tsika VPN.
Avereno indray ny FreeRADIUS ary andramo miditra:
radtest username 100110 localhost 1812 testing321izay Anaran'ny mpampiasa = solonanarana, 100110 = tenimiafina nomen'ny fampiharana amin'ny finday, localhost = Adiresy mpizara RADIUS, 1812 - seranan-tsambo RADIUS, fanandramana321 - tenimiafina mpanjifa RADIUS server (izay nofaritanay tao amin'ny config).
Ny vokatr'ity baiko ity dia ho toy izao manaraka izao:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20Ankehitriny dia mila manao izay hahazoana antoka fa ny mpampiasa dia soa aman-tsara authenticated. Mba hanaovana izany dia hojerentsika ny log of multiotp:
tail /var/log/multiotp/multiotp.logAry raha misy ny fidirana farany:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1Dia nandeha tsara ny zava-drehetra ary afaka mamita
Dingana 5: Amboary ny Cisco ASA
Andeha isika hanaiky fa efa manana vondrona sy politika voarafitra hidirana amin'ny alalan'ny SLL VPN, voarindra miaraka amin'ny Active Directory, ary mila manampy authentication roa sosona ho an'ity mombamomba ity.
1. Manampia vondrona mpizara AAA vaovao:
2. Ampio ny mpizara multiOTP anay amin'ny vondrona:
3. Ovainay profil fifandraisana, mametraka ny vondrona mpizara Active Directory ho lohamilina fanamarinana:
4. Ao amin'ny tabilao Advanced -> Authentication Mifidy ny vondrona mpizara Active Directory ihany koa izahay:
5. Ao amin'ny tabilao Advanced -> Secondary fanamarinana, safidio ny vondrona mpizara noforonina izay nisoratra anarana ny mpizara multiOTP. Mariho fa ny solon'anarana Session dia nolovaina tamin'ny vondrona mpizara AAA voalohany:
Ampiharo ny Settings ary
Dingana 6, aka ny farany
Andeha hojerentsika raha miasa amin'ny SLL VPN ny fanamarinana roa:
Voila! Rehefa mifandray amin'ny Cisco AnyConnect VPN Client, dia hangatahana tenimiafina indray mandeha ihany koa ianao.
Manantena aho fa hanampy olona iray ity lahatsoratra ity, ary hanome sakafo ho an'ny olona iray momba ny fampiasana an'io, maimaim-poana OTP server, ho an'ny asa hafa. Zarao amin'ny fanehoan-kevitra raha tianao.
Source: www.habr.com