🥇 2FA वर जा (ASA SSL VPN साठी दोन घटक प्रमाणीकरण)

कॉर्पोरेट वातावरणात रिमोट ऍक्सेस प्रदान करण्याची गरज अधिकाधिक वेळा उद्भवत आहे, मग ते तुमचे वापरकर्ते किंवा भागीदार असले तरीही ज्यांना तुमच्या संस्थेतील विशिष्ट सर्व्हरवर प्रवेश आवश्यक आहे.

या हेतूंसाठी, बहुतेक कंपन्या VPN तंत्रज्ञान वापरतात, ज्याने संस्थेच्या स्थानिक संसाधनांमध्ये प्रवेश प्रदान करण्याचा विश्वासार्हपणे संरक्षित मार्ग असल्याचे सिद्ध केले आहे.

माझी कंपनीही त्याला अपवाद नव्हती आणि आम्हीही इतर अनेकांप्रमाणेच हे तंत्रज्ञान वापरतो. आणि, इतर अनेकांप्रमाणे, आम्ही रिमोट ऍक्सेस गेटवे म्हणून Cisco ASA 55xx वापरतो.

रिमोट वापरकर्त्यांची संख्या वाढत असताना, क्रेडेन्शियल जारी करण्याची प्रक्रिया सुलभ करण्याची आवश्यकता आहे. परंतु त्याच वेळी, हे सुरक्षिततेशी तडजोड न करता केले पाहिजे.

आमच्यासाठी, सिस्को एसएसएल व्हीपीएन द्वारे कनेक्ट करण्यासाठी, वन-टाइम पासवर्ड वापरून दोन-घटक प्रमाणीकरण वापरण्यात आम्हाला एक उपाय सापडला. आणि हे प्रकाशन तुम्हाला सांगेल की कमीत कमी वेळ आणि आवश्यक सॉफ्टवेअरसाठी शून्य खर्चासह असे समाधान कसे आयोजित करावे (आपल्या पायाभूत सुविधांमध्ये आधीपासूनच Cisco ASA असल्यास).

बाजार एक-वेळ पासवर्ड तयार करण्यासाठी बॉक्स्ड सोल्यूशन्सने भरलेला आहे, ते मिळवण्यासाठी अनेक पर्याय ऑफर करत आहेत, मग ते एसएमएसद्वारे पासवर्ड पाठवणे असो किंवा हार्डवेअर आणि सॉफ्टवेअर (उदाहरणार्थ, मोबाइल फोनवर) दोन्ही टोकन वापरणे असो. परंतु पैसे वाचवण्याची इच्छा आणि माझ्या नियोक्त्यासाठी पैसे वाचवण्याची इच्छा, सध्याच्या संकटात, मला वन-टाइम पासवर्ड व्युत्पन्न करण्यासाठी सेवा लागू करण्याचा विनामूल्य मार्ग शोधण्यास भाग पाडले. जे, विनामूल्य असताना, व्यावसायिक सोल्यूशन्सपेक्षा जास्त निकृष्ट नाही (येथे आपण आरक्षण केले पाहिजे, हे लक्षात घेऊन की या उत्पादनाची व्यावसायिक आवृत्ती देखील आहे, परंतु आम्ही सहमत आहोत की आमची किंमत, पैशात, शून्य असेल).

तर आपल्याला याची गरज असेल

- वेबद्वारे सर्व्हरवर प्रवेश करण्यासाठी मल्टीओटीपी, फ्रीरॅडिअस आणि एनजीनक्स, टूल्सच्या अंगभूत संचासह लिनक्स प्रतिमा (http://download.multiotp.net/ - मी VMware साठी तयार प्रतिमा वापरली)
- सक्रिय निर्देशिका सर्व्हर
— Cisco ASA स्वतः (सोयीसाठी, मी ASDM वापरतो)
— TOTP यंत्रणेला समर्थन देणारे कोणतेही सॉफ्टवेअर टोकन (मी, उदाहरणार्थ, Google प्रमाणक वापरतो, परंतु तेच FreeOTP करेल)

प्रतिमा कशी उलगडते याच्या तपशीलात मी जाणार नाही. परिणामी, तुम्हाला मल्टीओटीपी आणि फ्रीरॅडिअस आधीच स्थापित केलेले, एकत्र काम करण्यासाठी कॉन्फिगर केलेले आणि OTP प्रशासनासाठी वेब इंटरफेससह डेबियन लिनक्स प्राप्त होईल.

पायरी 1. आम्ही सिस्टम सुरू करतो आणि ती तुमच्या नेटवर्कसाठी कॉन्फिगर करतो
डीफॉल्टनुसार, सिस्टम रूट रूट क्रेडेन्शियल्ससह येते. मला वाटते की पहिल्या लॉगिननंतर रूट वापरकर्ता संकेतशब्द बदलणे ही चांगली कल्पना असेल असा प्रत्येकाचा अंदाज आहे. तुम्हाला नेटवर्क सेटिंग्ज देखील बदलण्याची आवश्यकता आहे (डिफॉल्टनुसार ते गेटवे '192.168.1.44' सह '192.168.1.1' आहे). त्यानंतर आपण सिस्टम रीबूट करू शकता.

चला Active Directory मध्ये युजर तयार करू ओटीपी, पासवर्डसह MySuperPassword.

पायरी 2. कनेक्शन सेट करा आणि सक्रिय निर्देशिका वापरकर्ते आयात करा
हे करण्यासाठी, आम्हाला कन्सोल आणि थेट फाइलमध्ये प्रवेश आवश्यक आहे multiotp.php, ज्याचा वापर करून आम्ही कनेक्शन सेटिंग्ज सक्रिय निर्देशिकामध्ये कॉन्फिगर करू.

निर्देशिका वर जा /usr/local/bin/multiotp/ आणि त्या बदल्यात खालील कमांड कार्यान्वित करा:

./multiotp.php -config default-request-prefix-pin=0

एक-वेळ पिन (0 किंवा 1) प्रविष्ट करताना अतिरिक्त (कायमस्वरूपी) पिन आवश्यक आहे की नाही हे निर्धारित करते

./multiotp.php -config default-request-ldap-pwd=0

एक-वेळ पिन (0 किंवा 1) प्रविष्ट करताना डोमेन पासवर्ड आवश्यक आहे की नाही हे निर्धारित करते

./multiotp.php -config ldap-server-type=1

LDAP सर्व्हरचा प्रकार दर्शविला आहे (0 = नियमित LDAP सर्व्हर, आमच्या बाबतीत 1 = सक्रिय निर्देशिका)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

वापरकर्तानाव सादर करायचे स्वरूप निर्दिष्ट करते (हे मूल्य डोमेनशिवाय केवळ नाव प्रदर्शित करेल)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

तीच गोष्ट, फक्त एका गटासाठी

./multiotp.php -config ldap-group-attribute="memberOf"

वापरकर्ता समूहाशी संबंधित आहे की नाही हे निर्धारित करण्यासाठी एक पद्धत निर्दिष्ट करते

./multiotp.php -config ldap-ssl=1

मी LDAP सर्व्हरशी सुरक्षित कनेक्शन वापरावे (अर्थात - होय!)

./multiotp.php -config ldap-port=636

LDAP सर्व्हरशी जोडण्यासाठी पोर्ट

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

तुमचा सक्रिय निर्देशिका सर्व्हर पत्ता

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

डोमेनमधील वापरकर्त्यांचा शोध कोठे सुरू करायचा ते आम्ही सूचित करतो

./multiotp.php -config ldap-bind-dn="[email protected]"

सक्रिय डिरेक्ट्रीमध्ये शोध अधिकार असलेला वापरकर्ता निर्दिष्ट करा

./multiotp.php -config ldap-server-password="MySuperPassword"

सक्रिय निर्देशिकाशी कनेक्ट करण्यासाठी वापरकर्ता संकेतशब्द निर्दिष्ट करा

./multiotp.php -config ldap-network-timeout=10

सक्रिय निर्देशिकाशी कनेक्ट करण्यासाठी कालबाह्य सेट करत आहे

./multiotp.php -config ldap-time-limit=30

आम्ही वापरकर्ता आयात ऑपरेशनसाठी एक वेळ मर्यादा सेट केली आहे

./multiotp.php -config ldap-activated=1

सक्रिय निर्देशिका कनेक्शन कॉन्फिगरेशन सक्रिय करत आहे

./multiotp.php -debug -display-log -ldap-users-sync

आम्ही सक्रिय निर्देशिका मधून वापरकर्ते आयात करतो

पायरी 3. टोकनसाठी QR कोड व्युत्पन्न करा
येथे सर्व काही अत्यंत सोपे आहे. ब्राउझरमध्ये OTP सर्व्हरचा वेब इंटरफेस उघडा, लॉग इन करा (प्रशासकासाठी डीफॉल्ट पासवर्ड बदलण्यास विसरू नका!), आणि "प्रिंट" बटणावर क्लिक करा:

या क्रियेचा परिणाम एक पृष्ठ असेल ज्यामध्ये दोन QR कोड असतील. आम्ही त्यांपैकी पहिल्याकडे धैर्याने दुर्लक्ष करतो (गुगल ऑथेंटिकेटर / ऑथेंटिकेटर / 2 स्टेप्स ऑथेंटिकेटर असूनही) आणि पुन्हा आम्ही फोनवरील सॉफ्टवेअर टोकनमध्ये दुसरा कोड धैर्याने स्कॅन करतो:

(होय, क्यूआर कोड न वाचता येण्यासाठी मी मुद्दाम खराब केला आहे).

या क्रिया पूर्ण केल्यानंतर, दर तीस सेकंदांनी तुमच्या अर्जामध्ये सहा-अंकी पासवर्ड तयार होण्यास सुरुवात होईल.

खात्री करण्यासाठी, तुम्ही ते त्याच इंटरफेसमध्ये तपासू शकता:

तुमच्या फोनवरील अॅप्लिकेशनमधून तुमचे वापरकर्तानाव आणि वन-टाइम पासवर्ड टाकून. तुम्हाला सकारात्मक प्रतिसाद मिळाला का? म्हणून आम्ही पुढे जातो.

पायरी 4. FreeRADIUS ऑपरेशनचे अतिरिक्त कॉन्फिगरेशन आणि चाचणी
मी वर नमूद केल्याप्रमाणे, मल्टीओटीपी फ्रीरेडियससह कार्य करण्यासाठी आधीच कॉन्फिगर केलेले आहे, फक्त चाचण्या चालवणे आणि फ्रीरेडियस कॉन्फिगरेशन फाइलमध्ये आमच्या व्हीपीएन गेटवेबद्दल माहिती जोडणे बाकी आहे.

आम्ही सर्व्हर कन्सोलवर, निर्देशिकेवर परत येतो /usr/local/bin/multiotp/, प्रविष्ट करा:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

अधिक तपशीलवार लॉगिंगसह.

FreeRADIUS क्लायंट कॉन्फिगरेशन फाइलमध्ये (/etc/freeradius/clinets.conf) संबंधित सर्व ओळी टिप्पणी द्या localhost आणि दोन नोंदी जोडा:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- चाचणीसाठी

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- आमच्या व्हीपीएन गेटवेसाठी.

FreeRADIUS रीस्टार्ट करा आणि लॉग इन करण्याचा प्रयत्न करा:

radtest username 100110 localhost 1812 testing321

जेथे वापरकर्ता नाव = वापरकर्तानाव, 100110 = फोनवरील अनुप्रयोगाद्वारे आम्हाला दिलेला पासवर्ड, localhost = RADIUS सर्व्हर पत्ता, 1812 - RADIUS सर्व्हर पोर्ट, चाचणी 321 — RADIUS सर्व्हर क्लायंट पासवर्ड (जे आम्ही कॉन्फिगरेशनमध्ये निर्दिष्ट केले आहे).

या आदेशाचा परिणाम अंदाजे खालीलप्रमाणे आउटपुट होईल:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

आता आम्हाला हे सुनिश्चित करणे आवश्यक आहे की वापरकर्ता यशस्वीरित्या प्रमाणीकृत झाला आहे. हे करण्यासाठी, आपण multiotp चा लॉग स्वतः पाहू:

tail /var/log/multiotp/multiotp.log

आणि जर शेवटची एंट्री असेल तर:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

मग सर्व काही ठीक झाले आणि आम्ही पूर्ण करू शकतो

पायरी 5: Cisco ASA कॉन्फिगर करा
चला मान्य करूया की आमच्याकडे आधीपासूनच कॉन्फिगर केलेला गट आणि SLL VPN द्वारे प्रवेशासाठी धोरणे आहेत, सक्रिय डिरेक्ट्रीच्या संयोगाने कॉन्फिगर केलेली आहेत आणि आम्हाला या प्रोफाइलसाठी द्वि-घटक प्रमाणीकरण जोडण्याची आवश्यकता आहे.

1. नवीन AAA सर्व्हर गट जोडा:

2. गटात आमचा मल्टीओटीपी सर्व्हर जोडा:

3. आम्ही संपादित करतो कनेक्शन प्रोफाइल, मुख्य प्रमाणीकरण सर्व्हर म्हणून सक्रिय निर्देशिका सर्व्हर गट सेट करणे:

4. टॅबमध्ये प्रगत -> प्रमाणीकरण आम्ही सक्रिय निर्देशिका सर्व्हर गट देखील निवडतो:

5. टॅबमध्ये प्रगत -> माध्यमिक प्रमाणीकरण, तयार केलेला सर्व्हर गट निवडा ज्यामध्ये मल्टीओटीपी सर्व्हर नोंदणीकृत आहे. लक्षात घ्या की सत्र वापरकर्तानाव प्राथमिक AAA सर्व्हर गटाकडून वारशाने मिळालेले आहे:

सेटिंग्ज लागू करा आणि

पायरी 6, उर्फ शेवटची
SLL VPN साठी द्वि-घटक प्रमाणीकरण कार्य करते का ते तपासूया:

व्होइला! Cisco AnyConnect VPN Client द्वारे कनेक्ट करताना, तुम्हाला एक सेकंदाचा, वन-टाइम पासवर्ड देखील विचारला जाईल.

मला आशा आहे की हा लेख कोणालातरी मदत करेल आणि हे कसे वापरावे यावर विचार करण्यासाठी कोणाला अन्न देईल, विनामूल्य OTP सर्व्हर, इतर कामांसाठी. आपली इच्छा असल्यास टिप्पण्यांमध्ये सामायिक करा.

स्त्रोत: www.habr.com

2FA वर जा (ASA SSL VPN साठी दोन-घटक प्रमाणीकरण)

एक टिप्पणी जोडा Отменить ответ