🥇LinOTP द्वि-घटक प्रमाणीकरण सर्व्हर

आज मला कॉर्पोरेट नेटवर्क, साइट्स, सेवा, ssh चे संरक्षण करण्यासाठी द्वि-घटक प्रमाणीकरण सर्व्हर कसा सेट करायचा ते सामायिक करायचे आहे. सर्व्हर खालील संयोजन चालवेल: LinOTP + FreeRadius.

आम्हाला त्याची गरज का आहे?
हे पूर्णपणे विनामूल्य, सोयीस्कर समाधान आहे, त्याच्या स्वतःच्या नेटवर्कमध्ये, तृतीय-पक्ष प्रदात्यांपासून स्वतंत्र आहे.

ही सेवा अतिशय सोयीस्कर आहे, अगदी दृश्यमान आहे, इतर ओपन सोर्स उत्पादनांपेक्षा वेगळी आहे, आणि मोठ्या संख्येने फंक्शन्स आणि धोरणांना देखील समर्थन देते (उदाहरणार्थ, लॉगिन+पासवर्ड+(पिन+ओटीपीटोकन)). API द्वारे, ते एसएमएस पाठवण्याच्या सेवांसह (LinOTP कॉन्फिग->प्रोव्हायडर कॉन्फिग->एसएमएस प्रदाता) समाकलित करते, Google Authentificator सारख्या मोबाइल अॅप्लिकेशनसाठी कोड व्युत्पन्न करते आणि बरेच काही. मला वाटते की चर्चा केलेल्या सेवेपेक्षा ते अधिक सोयीस्कर आहे लेख.

हा सर्व्हर Cisco ASA, OpenVPN सर्व्हर, Apache2 आणि सर्वसाधारणपणे RADIUS सर्व्हर (उदाहरणार्थ, डेटा सेंटरमधील SSH साठी) प्रमाणीकरणास समर्थन देणार्‍या जवळजवळ प्रत्येक गोष्टीसह उत्तम प्रकारे कार्य करतो.

हे आवश्यक आहे:

1) डेबियन 8 (जेसी) - अपरिहार्यपणे! (डेबियन 9 वरील चाचणी स्थापनेचे लेखाच्या शेवटी वर्णन केले आहे)

प्रारंभः

डेबियन 8 स्थापित करत आहे.

LinOTP रेपॉजिटरी जोडा:

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

की जोडत आहे:

# gpg --search-keys 913DFF12F86258E5

कधीकधी "स्वच्छ" स्थापनेदरम्यान, ही आज्ञा चालविल्यानंतर, डेबियन दाखवतो:

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

हा प्रारंभिक gnupg सेटअप आहे. ठीक आहे. फक्त कमांड पुन्हा चालवा.
डेबियनच्या प्रश्नावर:

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

आम्ही उत्तर देतोः १

पुढील:

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

mysql स्थापित करा. सिद्धांतानुसार, तुम्ही दुसरा sql सर्व्हर वापरू शकता, परंतु साधेपणासाठी मी ते LinOTP साठी शिफारस केल्याप्रमाणे वापरेन.

(LinOTP डेटाबेस पुन्हा कॉन्फिगर करण्यासह अतिरिक्त माहिती, अधिकृत दस्तऐवजीकरणामध्ये आढळू शकते दुवा. तेथे तुम्ही कमांड देखील शोधू शकता: जर तुम्ही आधीच mysql इंस्टॉल केले असेल तर पॅरामीटर्स बदलण्यासाठी dpkg-reconfigure linotp).

# apt-get install mysql-server

# apt-get update

(पुन्हा अद्यतने तपासण्यास त्रास होणार नाही)
LinOTP आणि अतिरिक्त मॉड्यूल स्थापित करा:

# apt-get install linotp

आम्ही इंस्टॉलरच्या प्रश्नांची उत्तरे देतो:
Apache2 वापरा: होय
प्रशासक Linotp साठी पासवर्ड तयार करा: “तुमचा पासवर्ड”
स्व-स्वाक्षरी केलेले प्रमाणपत्र व्युत्पन्न करा?: होय
MySQL वापरा?: होय
डेटाबेस कुठे आहे: लोकलहोस्ट
सर्व्हरवर LinOTP डेटाबेस (बेस नाव) तयार करा: LinOTP2
डेटाबेससाठी स्वतंत्र वापरकर्ता तयार करा: LinOTP2
आम्ही वापरकर्त्यासाठी पासवर्ड सेट करतो: “तुमचा पासवर्ड”
मी आता डेटाबेस तयार करावा का? (“तुम्हाला नक्की हवे आहे का...” सारखे काहीतरी): होय
स्थापित करताना तुम्ही तयार केलेला MySQL रूट पासवर्ड एंटर करा: “तुमचा पासवर्ड”
झाले

(पर्यायी, तुम्हाला ते स्थापित करण्याची गरज नाही)

# apt-get install linotp-adminclient-cli

(पर्यायी, तुम्हाला ते स्थापित करण्याची गरज नाही)

# apt-get install libpam-linotp

आणि म्हणून आमचा Linotp वेब इंटरफेस आता येथे उपलब्ध आहे:

"<b>https</b>: //IP_сервера/manage"

मी वेब इंटरफेसमधील सेटिंग्जबद्दल थोड्या वेळाने बोलू.

आता, सर्वात महत्वाची गोष्ट! आम्ही FreeRadius वाढवतो आणि Linotp शी लिंक करतो.

LinOTP सह काम करण्यासाठी FreeRadius आणि मॉड्यूल स्थापित करा

# apt-get install freeradius linotp-freeradius-perl

क्लायंट आणि वापरकर्ते त्रिज्या कॉन्फिगचा बॅकअप घ्या.

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

रिक्त क्लायंट फाइल तयार करा:

# touch /etc/freeradius/clients.conf

आमची नवीन कॉन्फिगरेशन फाइल संपादित करणे (बॅक अप कॉन्फिगचा उदाहरण म्हणून वापरला जाऊ शकतो)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

पुढे, वापरकर्ता फाइल तयार करा:

# touch /etc/freeradius/users

आम्ही फाईल संपादित करतो, त्रिज्या सांगतो की आम्ही प्रमाणीकरणासाठी पर्ल वापरू.

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

पुढे, फाइल संपादित करा /etc/freeradius/modules/perl

# nano /etc/freeradius/modules/perl

आम्हाला मॉड्यूल पॅरामीटरमध्ये perl linotp स्क्रिप्टचा मार्ग निर्दिष्ट करणे आवश्यक आहे:

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

... ..
पुढे, आम्ही एक फाईल तयार करतो ज्यामध्ये आम्ही कोणता (डोमेन, डेटाबेस किंवा फाइल) डेटा घ्यायचा हे सांगतो.

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

मी येथे थोडे अधिक तपशीलात जाईन कारण ते महत्वाचे आहे:

टिप्पण्यांसह फाइलचे संपूर्ण वर्णन:
linOTP सर्व्हरचा #IP (आमच्या LinOTP सर्व्हरचा IP पत्ता)
URL=https://172.17.14.103/validate/simplecheck
# आमचे क्षेत्र जे आम्ही LinOTP वेब इंटरफेसमध्ये तयार करू.)
REALM=rearm1
# LinOTP वेब थूथन मध्ये तयार केलेल्या वापरकर्ता गटाचे नाव.
RESCONF=flat_file
#वैकल्पिक: सर्व काही ठीक आहे असे वाटत असल्यास टिप्पणी द्या
डीबग = खरे
#वैकल्पिक: तुमच्याकडे स्वत:ची स्वाक्षरी केलेली प्रमाणपत्रे असल्यास हे वापरा, अन्यथा टिप्पणी द्या (आम्ही आमचे स्वतःचे प्रमाणपत्र तयार केल्यास आणि ते सत्यापित करू इच्छित असल्यास)
SSL_CHECK=असत्य

पुढे, फाइल /etc/freeradius/sites-available/linotp तयार करा

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

आणि त्यात कॉन्फिगरेशन कॉपी करा (काहीही संपादित करण्याची आवश्यकता नाही):

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

पुढे आम्ही एक सिम लिंक तयार करू:

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

व्यक्तिशः, मी डीफॉल्ट रेडियस साइट्स नष्ट करतो, परंतु तुम्हाला त्यांची आवश्यकता असल्यास, तुम्ही त्यांची कॉन्फिगरेशन संपादित करू शकता किंवा त्यांना अक्षम करू शकता.

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

आता वेब फेसवर परत जाऊया आणि थोडे अधिक तपशीलाने पाहू:
वरच्या उजव्या कोपर्यात LinOTP कॉन्फिग -> UserIdResolvers -> New वर क्लिक करा
आम्हाला जे हवे आहे ते आम्ही निवडतो: LDAP (AD win, LDAP samba), किंवा SQL, किंवा Flatfile सिस्टमचे स्थानिक वापरकर्ते.

आवश्यक फील्ड भरा.

पुढे आम्ही REALMS तयार करतो:
वरच्या उजव्या कोपर्यात, LinOTP कॉन्फिग -> Realms -> New वर क्लिक करा.
आणि आमच्या REALMS ला नाव द्या आणि आधी तयार केलेल्या UserIdResolvers वर देखील क्लिक करा.

FreeRadius ला हा सर्व डेटा /etc/linotp2/rlm_perl.ini फाईलमध्ये हवा आहे, जसे मी वर लिहिले आहे, जर तुम्ही ते संपादित केले नसेल तर ते आत्ताच करा.

सर्व्हर सर्व कॉन्फिगर केले आहे.

या व्यतिरिक्त:

डेबियन 9 वर LinOTP सेट करत आहे:

स्थापना:

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(डिफॉल्टनुसार, डेबियन 9 mysql (mariaDB) मध्ये रूट पासवर्ड सेट करण्याची ऑफर देत नाही, अर्थातच तुम्ही तो रिकामा ठेवू शकता, परंतु जर तुम्ही बातम्या वाचल्या तर, यामुळे "महाकाव्य अपयश" ठरते, म्हणून आम्ही तो सेट करू असो)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

कोड पेस्ट करा (JuriM ने पाठवले आहे, त्याबद्दल त्यांचे आभार!):

सर्व्हर लिनॉटप {
ऐका {
ipaddr = *
पोर्ट = 1812
type=auth
}
ऐका {
ipaddr = *
पोर्ट = 1813
प्रकार = acct
}
अधिकृत करा {
पूर्व प्रक्रिया
अपडेट {
&control:Auth-Type := Perl
}
}
प्रमाणित करा {
ऑथ-प्रकार पर्ल {
पेर्ल
}
}
लेखा {
युनिक्स
}
}

संपादित करा /etc/freeradius/3.0/mods-enabled/perl

पर्ल {
फाइलनाव = /usr/share/linotp/radius_linotp.pm
func_authenticate = प्रमाणीकृत करा
func_authorize = अधिकृत करा
}

दुर्दैवाने, डेबियन 9 मध्ये radius_linotp.pm लायब्ररी रेपॉजिटरीजमधून स्थापित केलेली नाही, म्हणून आम्ही ते गिथबमधून घेऊ.

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

आता संपादित करूया /etc/freeradius/3.0/clients.conf

क्लायंट सर्व्हर {
ipaddr = 192.168.188.0/24
गुप्त = तुमचा पासवर्ड
}

आता nano /etc/linotp2/rlm_perl.ini दुरुस्त करू

डेबियन 8 वर स्थापित करताना आम्ही तोच कोड पेस्ट करतो (वर वर्णन केलेले)

हे सर्व कल्पनेनुसार आहे. (अद्याप चाचणी केलेली नाही)

मी सिस्टम सेट अप करण्यासाठी काही लिंक खाली देईन ज्यांना बहुतेक वेळा द्वि-घटक प्रमाणीकरणाने संरक्षित केले जावे लागते:
मध्ये द्वि-घटक प्रमाणीकरण सेट करत आहे अपाचेएक्सएनएक्स

Cisco ASA सह सेटअप(तिथे भिन्न टोकन जनरेशन सर्व्हर वापरला जातो, परंतु ASA च्या सेटिंग्ज स्वतः समान आहेत).

दोन-घटक प्रमाणीकरणासह VPN

समायोजन ssh मध्ये दोन घटक प्रमाणीकरण (LinOTP तिथेही वापरला आहे) - लेखकाचे आभार. तेथे तुम्हाला LiOTP पॉलिसी सेट करण्याबद्दल मनोरंजक गोष्टी देखील मिळू शकतात.

तसेच, बर्‍याच साइट्सचे सेमी द्वि-घटक प्रमाणीकरणास समर्थन देतात (वर्डप्रेससाठी, लिनओटीपीचे स्वतःचे विशेष मॉड्यूल देखील आहे github), उदाहरणार्थ, तुम्हाला तुमच्या कॉर्पोरेट वेबसाइटवर कंपनीच्या कर्मचाऱ्यांसाठी संरक्षित विभाग बनवायचा असल्यास.
महत्त्वाची वस्तुस्थिती! Google Authenticator वापरण्यासाठी “Google autentificator” बॉक्स तपासू नका! मग QR कोड वाचता येत नाही... (विचित्र तथ्य)

हा लेख लिहिण्यासाठी, खालील लेखातील माहिती वापरली गेली:
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

लेखकांचे आभार.

स्त्रोत: www.habr.com

LinOTP द्वि-घटक प्रमाणीकरण सर्व्हर

एक टिप्पणी जोडा Отменить ответ