Freeradius + Google Autheticator + LDAP + Fortigate

Што да направите ако сакате двофакторна автентикација и се двоумите, но нема пари за хардверски токени и воопшто предлагаат да се задржите на доброто расположение.

Ова решение не е нешто супер оригинално, туку мешавина од различни решенија кои се наоѓаат на Интернет.

Значи тоа е дадено

Име на домен Active Directory.

Корисници на домени кои работат преку VPN, како и многумина денес.

VPN делува како порта Тврди.

Зачувувањето на лозинката за клиентот VPN е забрането со безбедносната политика.

Политика Fortinet во однос на сопствените токени, не можете да го наречете помалку од redneck - има дури 10 единици бесплатни токени, останатите се по многу некошер цена. Не ги земав предвид RSASecureID, Duo и слично, затоа што сакам отворен код.

Предуслови: домаќин * nix со инсталиран слободен радиус, ssd — внесен во доменот, корисниците на доменот можат лесно да се автентицираат на него.

Дополнителни пакети: шелинабокс, филета, слободен радиус-лдап, фонт бунтовник.tlf од складиштето https://github.com/xero/figlet-fonts.

Во мојот пример, CentOS 7.8.

Оперативната логика е следна: при поврзување со VPN, корисникот мора да внесе најава за домен и OTP наместо лозинка.

Поставување услуги

В /etc/raddb/radiusd.conf се менува само корисникот и групата под чие име започнува слободен радиус, од услугата радиусд мора да може да чита датотеки во сите поддиректориуми / home /.

user = root
group = root

За да можете да користите групи во поставките Тврди, треба да се пренесат Специфичен атрибут на продавачот. За да го направите ова во директориумот raddb/политика.г Јас креирам датотека со следнава содржина:

group_authorization {
    if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
            update reply {
                &Fortinet-Group-Name = "vpn_admins" }
            update control {
                &Auth-Type := PAM
                &Reply-Message := "Welcome Admin"
                }
        }
    else {
        update reply {
        &Reply-Message := "Not authorized for vpn"
            }
        reject
        }
}

По инсталацијата слободен радиус-лдап во именикот raddb/mods-достапно датотека е креирана ldap.

Треба да креирате симболична врска до директориумот raddb/mods-овозможено.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

Неговата содржина ја прикажувам на следниов начин:

ldap {
        server = 'domain.local'
        identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
        password = "SupeSecretP@ssword"
        base_dn = 'dc=domain,dc=local'
        sasl {
        }
        user {
                base_dn = "${..base_dn}"
                filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
                sasl {
                }
                scope = 'sub'
        }
        group {
                base_dn = "${..base_dn}"
                filter = '(objectClass=Group)'
                scope = 'sub'
                name_attribute = cn
                membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
                membership_attribute = 'memberOf'
        }
}

Во датотеките raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel во делот овласти Го додавам името на политиката што ќе се користи - group_authorization. Важна точка - името на политиката не се определува со името на датотеката во директориумот политика.г, но директива во датотеката пред кадравите загради.
Во делот автентично во истите датотеки треба да ја откоментирате линијата pam.

Во датотека клиенти.conf наведете ги параметрите со кои ќе се поврзете Тврди:

client fortigate {
    ipaddr = 192.168.1.200
    secret = testing123
    require_message_authenticator = no
    nas_type = other
}

Конфигурација на модул pam.d/radiusd:

#%PAM-1.0
auth       sufficient   pam_google_authenticator.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    include      password-auth

Стандардните опции за имплементација на пакетот слободен радиус с Google автентикатор бара од корисникот да ги внесе ингеренциите во формат: корисничко име Лозинка+ОТП.

Замислете колку клетви ќе ви паднат на глава ако ја користите стандардната копула слободен радиус с Google Authenticator, беше одлучено да се користи конфигурацијата на модулот pam така што се проверува само токенот Google Authenticator.

Кога корисникот се поврзува, се случува следново:

• Freeradius проверува дали корисникот е во доменот и во одредена група и, доколку е успешен, го проверува OTP токенот.

Сè изгледаше доста успешно додека не помислив: „Како можам да регистрирам OTP за 300+ корисници?

Корисникот мора да се најави на серверот со слободен радиус и од вашата сметка и стартувајте ја апликацијата Автентикатор на Google, кој ќе генерира QR код за апликацијата за корисникот. Ова е местото каде што доаѓа до спасување шелинабокс во комбинација со .bash_profile.

[root@freeradius ~]# yum install -y shellinabox

Датотеката за конфигурација на демонот се наоѓа во /etc/sysconfig/shellinabox.
Таму ја одредувам портата 443 и можете да го наведете вашиот сертификат.

[root@freeradius ~]#systemctl enable --now shellinaboxd

Корисникот може само да ја следи врската, да ги внесе ингеренциите на доменот и да добие QR код за апликацијата.

Алгоритмот е како што следува:

• Корисникот се најавува на машината преку прелистувач.
• Се проверува дали корисникот е корисник на домен. Ако не, тогаш не се презема ништо.
• Ако корисникот е корисник на домен, се проверува членството во администраторската група.
• Ако не е администратор, проверува дали е конфигуриран Google Autheticator. Ако не, тогаш се генерира QR-код и корисникот се одјавува.
• Ако не сте администратор и Google Authenticator е конфигуриран, тогаш само одјавете се.
• Ако е администратор, тогаш повторно проверете го Google Authenticator. Ако не е конфигуриран, се генерира QR-код.

Целата логика се прави со користење /etc/skel/.bash_profile.

мачка /etc/skel/.bash_profile

# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs
# Make several commands available from user shell

if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
  then
    [[ ! -d $HOME/bin ]] && mkdir $HOME/bin
    [[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
    [[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
    [[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
    [[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
    [[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
    [[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
  # Set PATH env to <home user directory>/bin
    PATH=$HOME/bin
    export PATH
  else
    PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
    export PATH
fi


if [[ -n $(id $USER | grep "domain users") ]]
  then
    if [[ ! -e $HOME/.google_authenticator ]]
      then
        if [[ -n $(id $USER | grep "admins") ]]
          then
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
          else
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password to VPN."
            logout
        fi
      else
        echo "You have already setup a Google Authenticator"
        if [[ -z $(id $USER | grep "admins") ]]
          then
          logout
        fi
    fi
  else
    echo "You don't need to set up a Google Authenticator"
fi

Поставување Fortigate:

• Ние создаваме радиус- сервер

  

• Ги создаваме потребните групи, доколку е потребно да се разликува пристапот по група. Името на групата е вклучено Тврди мора да одговара на групата во која е испратена Специфичен атрибут на продавачот Фортинет-Група-Име.

  

• Уредување на потребните SSL-портали.

  

• Додавање групи во политиките.

  

Предностите на ова решение:

• Можно е да се автентицира преку вклучен OTP Тврди решение со отворен код.
• Корисникот не мора да внесува лозинка за домен кога се поврзува преку VPN, што донекаде го поедноставува процесот на поврзување. Лозинката од 6 цифри е полесна за внесување од онаа предвидена со безбедносната политика. Како резултат на тоа, бројот на билети со тема: „Не можам да се поврзам на VPN“ се намалува.

П.С. Постојат планови за надградба на ова решение до целосна двофакторна автентикација со одговор на предизвикот.

Ажурирате:

Како што ветив, ја надградив на опцијата со предизвик-одговор.
Значи:
Во датотека /etc/raddb/sites-enabled/default дел овласти е како што следува:

authorize {
    filter_username
    preprocess
    auth_log
    chap
    mschap
    suffix
    eap {
        ok = return
    }
    files
    -sql
    #-ldap
    expiration
    logintime
    if (!State) {
        if (&User-Password) {
            # If !State and User-Password (PAP), then force LDAP:
            update control {
                Ldap-UserDN := "%{User-Name}"
                Auth-Type := LDAP
            }
        }
        else {
            reject
        }
    }
    else {
        # If State, then proxy request:
        group_authorization
    }
pap
}

Дел автентично сега изгледа вака:

authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        # Attempt authentication with a direct LDAP bind:
        Auth-Type LDAP {
        ldap
        if (ok) {
            update reply {
                # Create a random State attribute:
                State := "%{randstr:aaaaaaaaaaaaaaaa}"
                Reply-Message := "Please enter OTP"
                }
            # Return Access-Challenge:
            challenge
            }
        }
        pam
        eap
}

Сега корисникот е потврден со помош на следниов алгоритам:

• Корисникот ги внесува ингеренциите на доменот во клиентот VPN.
• Freeradius ја проверува валидноста и лозинката на сметката
• Ако лозинката е точна, тогаш се испраќа барање за токен.
• Токенот се проверува.
• Профит).

Извор: www.habr.com