Freeradius + Google Authenticator + LDAP + ഫോർട്ടിഗേറ്റ്

രണ്ട്-ഘടക പ്രാമാണീകരണം അഭിലഷണീയവും മുള്ളും ആണെങ്കിൽ, പക്ഷേ ഹാർഡ്‌വെയർ ടോക്കണുകൾക്ക് പണമില്ല, പൊതുവെ അവർ നല്ല മാനസികാവസ്ഥയിൽ തുടരാൻ വാഗ്ദാനം ചെയ്യുന്നു.

ഈ സൊല്യൂഷൻ സൂപ്പർ ഒറിജിനൽ ഒന്നല്ല, മറിച്ച് ഇന്റർനെറ്റിൽ കണ്ടെത്തിയ വ്യത്യസ്ത പരിഹാരങ്ങളുടെ മിശ്രിതമാണ്.

അങ്ങനെ കൊടുത്തു

ഡൊമെൻ ആക്ടീവ് ഡയറക്ടറി.

ഇന്നത്തെ പലരെയും പോലെ ഒരു VPN വഴി പ്രവർത്തിക്കുന്ന ഡൊമെയ്‌ൻ ഉപയോക്താക്കൾ.

ഒരു VPN ഗേറ്റ്‌വേ ആയി പ്രവർത്തിക്കുന്നു Tigർജ്ജസ്വലമാക്കുക.

VPN ക്ലയന്റിനായി പാസ്‌വേഡ് സംരക്ഷിക്കുന്നത് സുരക്ഷാ നയം നിരോധിച്ചിരിക്കുന്നു.

രാഷ്ട്രീയം ഫോർട്ടിനെറ്റ് നിങ്ങളുടെ സ്വന്തം ടോക്കണുകളുമായി ബന്ധപ്പെട്ട്, നിങ്ങൾക്ക് ഇതിനെ ഒരു zhlob-നേക്കാൾ കുറവായി വിളിക്കാൻ കഴിയില്ല - 10 വരെ സൗജന്യ ടോക്കണുകൾ ഉണ്ട്, ബാക്കിയുള്ളവ - വളരെ നോൺ-കോഷർ വിലയ്ക്ക്. RSASecureID, Duo എന്നിവയും മറ്റും ഞാൻ പരിഗണിച്ചില്ല, കാരണം എനിക്ക് ഓപ്പൺ സോഴ്‌സ് വേണം.

മുൻവ്യവസ്ഥകൾ: ഹോസ്റ്റ് * നിക്സ് കൂടെ സ്ഥാപിച്ചു ഫ്രീറേഡിയസ്, ssd - ഡൊമെയ്‌നിലേക്ക് പ്രവേശിച്ചു, ഡൊമെയ്ൻ ഉപയോക്താക്കൾക്ക് അതിൽ എളുപ്പത്തിൽ പ്രാമാണീകരിക്കാൻ കഴിയും.

അധിക പാക്കേജുകൾ: ഷെല്ലിനാബോക്സ്, അത്തിപ്പഴം, freeradius-ldap, ഫോണ്ട് rebel.tlf ശേഖരത്തിൽ നിന്ന് https://github.com/xero/figlet-fonts.

എന്റെ ഉദാഹരണത്തിൽ - CentOS 7.8.

ജോലിയുടെ ലോജിക് ഇനിപ്പറയുന്നതായിരിക്കണം: ഒരു VPN-ലേക്ക് കണക്‌റ്റ് ചെയ്യുമ്പോൾ, ഒരു പാസ്‌വേഡിന് പകരം ഉപയോക്താവ് ഒരു ഡൊമെയ്‌ൻ ലോഗിൻ, OTP എന്നിവ നൽകണം.

സേവനങ്ങളുടെ സജ്ജീകരണം

В /etc/raddb/radiusd.conf ആരംഭിക്കുന്ന ഉപയോക്താവിനും ഗ്രൂപ്പിനും വേണ്ടി മാത്രം ഫ്രീറേഡിയസ്, സേവനം മുതൽ വ്യാസാർദ്ധം എല്ലാ ഉപഡയറക്‌ടറികളിലെയും ഫയലുകൾ വായിക്കാൻ കഴിയണം / വീട് /.

user = root
group = root

ക്രമീകരണങ്ങളിൽ ഗ്രൂപ്പുകൾ ഉപയോഗിക്കാൻ കഴിയും Tigർജ്ജസ്വലമാക്കുക, കൈമാറ്റം ചെയ്യണം വെണ്ടർ സ്പെസിഫിക് ആട്രിബ്യൂട്ട്. ഇത് ചെയ്യുന്നതിന്, ഡയറക്ടറിയിൽ raddb/policy.d ഇനിപ്പറയുന്ന ഉള്ളടക്കമുള്ള ഒരു ഫയൽ ഞാൻ സൃഷ്ടിക്കുന്നു:

group_authorization {
    if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
            update reply {
                &Fortinet-Group-Name = "vpn_admins" }
            update control {
                &Auth-Type := PAM
                &Reply-Message := "Welcome Admin"
                }
        }
    else {
        update reply {
        &Reply-Message := "Not authorized for vpn"
            }
        reject
        }
}

ഇൻസ്റ്റാളേഷന് ശേഷം freeradius-ldap ഡയറക്ടറിയിൽ raddb/mods-ലഭ്യം ഫയൽ സൃഷ്ടിച്ചു ldap.

ഡയറക്ടറിയിലേക്ക് ഒരു പ്രതീകാത്മക ലിങ്ക് സൃഷ്ടിക്കേണ്ടതുണ്ട് raddb/mods-enabled.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

ഞാൻ അതിന്റെ ഉള്ളടക്കങ്ങൾ ഈ ഫോമിലേക്ക് കൊണ്ടുവരുന്നു:

ldap {
        server = 'domain.local'
        identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
        password = "SupeSecretP@ssword"
        base_dn = 'dc=domain,dc=local'
        sasl {
        }
        user {
                base_dn = "${..base_dn}"
                filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
                sasl {
                }
                scope = 'sub'
        }
        group {
                base_dn = "${..base_dn}"
                filter = '(objectClass=Group)'
                scope = 'sub'
                name_attribute = cn
                membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
                membership_attribute = 'memberOf'
        }
}

ഫയലുകളിൽ raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel വിഭാഗത്തിൽ അംഗീകരിക്കുക ഉപയോഗിക്കേണ്ട നയത്തിന്റെ പേര് ഞാൻ ചേർക്കുന്നു - group_authorization. ഒരു പ്രധാന കാര്യം - നയത്തിന്റെ പേര് ഡയറക്‌ടറിയിലെ ഫയലിന്റെ പേര് നിർണ്ണയിച്ചിട്ടില്ല നയം.ഡി, എന്നാൽ ചുരുണ്ട ബ്രേസുകൾക്ക് മുമ്പുള്ള ഫയലിനുള്ളിലെ ഒരു നിർദ്ദേശം വഴി.
വിഭാഗത്തിൽ പ്രാമാണീകരിക്കുക അതേ ഫയലുകളിൽ നിങ്ങൾ വരി അൺകമന്റ് ചെയ്യേണ്ടതുണ്ട് പാം.

ഫയലിൽ clients.conf അത് ബന്ധിപ്പിക്കുന്ന പരാമീറ്ററുകൾ നിർദ്ദേശിക്കുക Tigർജ്ജസ്വലമാക്കുക:

client fortigate {
    ipaddr = 192.168.1.200
    secret = testing123
    require_message_authenticator = no
    nas_type = other
}

മൊഡ്യൂൾ കോൺഫിഗറേഷൻ pam.d/radiusd:

#%PAM-1.0
auth       sufficient   pam_google_authenticator.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    include      password-auth

ഡിഫോൾട്ട് ബണ്ടിൽ നടപ്പിലാക്കൽ ഓപ്ഷനുകൾ ഫ്രീറേഡിയസ് с google ഓതന്റിക്കേറ്റർ ഫോർമാറ്റിൽ ക്രെഡൻഷ്യലുകൾ നൽകാൻ ഉപയോക്താവിനോട് ആവശ്യപ്പെടുന്നു: ഉപയോക്തൃനാമം/പാസ്‌വേഡ്+OTP.

ഡിഫോൾട്ട് ബണ്ടിൽ ഉപയോഗിക്കുമ്പോൾ, തലയിൽ വീഴുന്ന ശാപങ്ങളുടെ എണ്ണം സങ്കൽപ്പിക്കുക വഴി ഫ്രീറേഡിയസ് с Google Authenticator, മൊഡ്യൂൾ കോൺഫിഗറേഷൻ ഉപയോഗിക്കാൻ തീരുമാനിച്ചു പാം അതിനാൽ ടോക്കൺ മാത്രമേ പരിശോധിക്കാൻ കഴിയൂ Google Authenticator.

ഒരു ഉപയോക്താവ് കണക്റ്റുചെയ്യുമ്പോൾ, ഇനിപ്പറയുന്നവ സംഭവിക്കുന്നു:

• ഫ്രീറേഡിയസ് ഉപയോക്താവ് ഡൊമെയ്‌നിലാണോ ഒരു നിശ്ചിത ഗ്രൂപ്പിലാണോ എന്ന് പരിശോധിക്കുന്നു, വിജയിച്ചാൽ, OTP ടോക്കൺ പരിശോധിക്കുന്നു.

“300+ ഉപയോക്താക്കൾക്കായി എനിക്ക് എങ്ങനെ OTP രജിസ്റ്റർ ചെയ്യാം?” എന്ന് ഞാൻ ചിന്തിച്ച നിമിഷം വരെ എല്ലാം മതിയായതായി കാണപ്പെട്ടു.

ഉപയോക്താവ് സെർവറിലേക്ക് ലോഗിൻ ചെയ്യണം ഫ്രീറേഡിയസ് നിങ്ങളുടെ അക്കൗണ്ടിന് കീഴിൽ നിന്ന് ആപ്ലിക്കേഷൻ പ്രവർത്തിപ്പിക്കുക Google പ്രാമാണികൻ, ഇത് ഉപയോക്താവിനുള്ള ആപ്ലിക്കേഷനായി ഒരു QR കോഡ് സൃഷ്ടിക്കും. ഇവിടെയാണ് സഹായം വരുന്നത്. ഷെല്ലിനാബോക്സ് സംയോജനത്തിൽ .ബാഷ്_പ്രൊഫൈൽ.

[root@freeradius ~]# yum install -y shellinabox

ഡെമൺ കോൺഫിഗറേഷൻ ഫയൽ സ്ഥിതി ചെയ്യുന്നത് /etc/sysconfig/shellinabox.
ഞാൻ അവിടെ പോർട്ട് 443 വ്യക്തമാക്കുകയും നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് വ്യക്തമാക്കുകയും ചെയ്യാം.

[root@freeradius ~]#systemctl enable --now shellinaboxd

ഉപയോക്താവിന് ലിങ്ക് പിന്തുടരുകയും ഡൊമെയ്ൻ ക്രെഡിറ്റുകൾ നൽകുകയും ആപ്ലിക്കേഷനായി ഒരു ക്യുആർ കോഡ് സ്വീകരിക്കുകയും ചെയ്താൽ മതിയാകും.

അൽഗോരിതം ഇപ്രകാരമാണ്:

• ഒരു ബ്രൗസറിലൂടെ ഉപയോക്താവ് മെഷീനിലേക്ക് ലോഗിൻ ചെയ്യുന്നു.
• ഡൊമെയ്ൻ ഉപയോക്താവിനെ പരിശോധിച്ചിട്ടുണ്ടോ എന്ന്. ഇല്ലെങ്കിൽ, ഒരു നടപടിയും എടുക്കുന്നില്ല.
• ഉപയോക്താവ് ഒരു ഡൊമെയ്ൻ ഉപയോക്താവാണെങ്കിൽ, അഡ്മിനിസ്ട്രേറ്റേഴ്സ് ഗ്രൂപ്പിലെ അംഗത്വം പരിശോധിക്കും.
• ഒരു അഡ്‌മിൻ അല്ലെങ്കിൽ, Google Authenticator കോൺഫിഗർ ചെയ്‌തിട്ടുണ്ടോ എന്ന് പരിശോധിക്കുന്നു. ഇല്ലെങ്കിൽ, ഒരു ക്യുആർ കോഡും ഉപയോക്തൃ ലോഗ്ഔട്ടും സൃഷ്ടിക്കപ്പെടും.
• ഒരു അഡ്‌മിനും Google ഓതന്റിക്കേറ്ററും കോൺഫിഗർ ചെയ്‌തിട്ടില്ലെങ്കിൽ, ലോഗ്ഔട്ട് ചെയ്യുക.
• അഡ്മിൻ ആണെങ്കിൽ, Google Authenticator വീണ്ടും പരിശോധിക്കുക. കോൺഫിഗർ ചെയ്‌തിട്ടില്ലെങ്കിൽ, ഒരു ക്യുആർ കോഡ് സൃഷ്‌ടിക്കും.

എല്ലാ യുക്തിയും ഉപയോഗിച്ചാണ് ചെയ്യുന്നത് /etc/skel/.bash_profile.

cat /etc/skel/.bash_profile

# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
        . ~/.bashrc
fi

# User specific environment and startup programs
# Make several commands available from user shell

if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
  then
    [[ ! -d $HOME/bin ]] && mkdir $HOME/bin
    [[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
    [[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
    [[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
    [[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
    [[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
    [[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
  # Set PATH env to <home user directory>/bin
    PATH=$HOME/bin
    export PATH
  else
    PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
    export PATH
fi


if [[ -n $(id $USER | grep "domain users") ]]
  then
    if [[ ! -e $HOME/.google_authenticator ]]
      then
        if [[ -n $(id $USER | grep "admins") ]]
          then
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
          else
            figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
            sleep 1.5
            echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en

And prepare to scan QR code.

"
            sleep 5
            google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
            echo "Congratulations, now you can use an OTP token from application as a password to VPN."
            logout
        fi
      else
        echo "You have already setup a Google Authenticator"
        if [[ -z $(id $USER | grep "admins") ]]
          then
          logout
        fi
    fi
  else
    echo "You don't need to set up a Google Authenticator"
fi

ഫോർട്ടിഗേറ്റ് സെറ്റപ്പ്:

• ഞങ്ങൾ സൃഷ്ടിക്കുന്നു വാസാര്ദ്ധം-സെർവർ

  

• ഞങ്ങൾ ആവശ്യമായ ഗ്രൂപ്പുകൾ സൃഷ്ടിക്കുന്നു, ആവശ്യമെങ്കിൽ, ഗ്രൂപ്പുകളുടെ ആക്സസ് നിയന്ത്രണം. ഗ്രൂപ്പിന്റെ പേര് ഓണാണ് Tigർജ്ജസ്വലമാക്കുക കടന്നുപോയ ഗ്രൂപ്പുമായി പൊരുത്തപ്പെടണം വെണ്ടർ സ്പെസിഫിക് ആട്രിബ്യൂട്ട് ഫോർട്ടിനെറ്റ്-ഗ്രൂപ്പ്-നാമം.

  

• ആവശ്യമായ എഡിറ്റിംഗ് എസ്എസ്എൽ- പോർട്ടലുകൾ.

  

• നയങ്ങളിലേക്ക് ഗ്രൂപ്പുകൾ ചേർക്കുന്നു.

  

ഈ പരിഹാരത്തിന്റെ ഗുണങ്ങൾ:

• OTP വഴി പ്രാമാണീകരിക്കാൻ സാധിക്കും Tigർജ്ജസ്വലമാക്കുക ഓപ്പൺ സോഴ്സ് പരിഹാരം.
• VPN വഴി കണക്‌റ്റ് ചെയ്യുമ്പോൾ ഉപയോക്താവ് ഒരു ഡൊമെയ്‌ൻ പാസ്‌വേഡ് നൽകുന്നില്ല, ഇത് കണക്ഷൻ പ്രക്രിയയെ ഒരു പരിധിവരെ ലളിതമാക്കുന്നു. സുരക്ഷാ നയം നൽകുന്നതിനേക്കാൾ 6 അക്ക പാസ്‌വേഡ് നൽകാൻ എളുപ്പമാണ്. തൽഫലമായി, "എനിക്ക് VPN-ലേക്ക് കണക്റ്റുചെയ്യാൻ കഴിയില്ല" എന്ന വിഷയമുള്ള ടിക്കറ്റുകളുടെ എണ്ണം കുറയുന്നു.

PS ഈ സൊല്യൂഷൻ ചലഞ്ച്-റെസ്‌പോൺസിനൊപ്പം പൂർണ്ണമായ രണ്ട്-ഘടക പ്രാമാണീകരണത്തിലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്യാൻ ഞങ്ങൾ പദ്ധതിയിടുന്നു.

അപ്ഡേറ്റ്:

വാഗ്ദാനം ചെയ്തതുപോലെ, ഞാൻ അതിനെ വെല്ലുവിളി-പ്രതികരണ ഓപ്ഷനിലേക്ക് ട്വീക്ക് ചെയ്തു.
അങ്ങനെ:
ഫയലിൽ /etc/raddb/sites-enabled/default വിഭാഗം അംഗീകരിക്കുക ഇത് പോലെ തോന്നുന്നു:

authorize {
    filter_username
    preprocess
    auth_log
    chap
    mschap
    suffix
    eap {
        ok = return
    }
    files
    -sql
    #-ldap
    expiration
    logintime
    if (!State) {
        if (&User-Password) {
            # If !State and User-Password (PAP), then force LDAP:
            update control {
                Ldap-UserDN := "%{User-Name}"
                Auth-Type := LDAP
            }
        }
        else {
            reject
        }
    }
    else {
        # If State, then proxy request:
        group_authorization
    }
pap
}

വിഭാഗം പ്രാമാണീകരിക്കുക ഇപ്പോൾ ഇതുപോലെ കാണപ്പെടുന്നു:

authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        # Attempt authentication with a direct LDAP bind:
        Auth-Type LDAP {
        ldap
        if (ok) {
            update reply {
                # Create a random State attribute:
                State := "%{randstr:aaaaaaaaaaaaaaaa}"
                Reply-Message := "Please enter OTP"
                }
            # Return Access-Challenge:
            challenge
            }
        }
        pam
        eap
}

ഇപ്പോൾ ഉപയോക്തൃ പരിശോധന ഇനിപ്പറയുന്ന അൽഗോരിതം അനുസരിച്ച് സംഭവിക്കുന്നു:

• VPN ക്ലയന്റിൽ ഉപയോക്താവ് ഡൊമെയ്ൻ ക്രെഡിറ്റുകൾ നൽകുന്നു.
• ഫ്രീറേഡിയസ് അക്കൗണ്ടിന്റെയും പാസ്‌വേഡിന്റെയും സാധുത പരിശോധിക്കുന്നു
• പാസ്‌വേഡ് ശരിയാണെങ്കിൽ, ഒരു ടോക്കണിനായുള്ള അഭ്യർത്ഥന അയയ്‌ക്കും.
• ടോക്കൺ പരിശോധിച്ചുവരികയാണ്.
• ലാഭം).

അവലംബം: www.habr.com