X'jiġri jekk l-awtentikazzjoni b'żewġ fatturi hija kemm mixtieqa kif ukoll tax-xewk, iżda m'hemmx flus għat-tokens tal-hardware u b'mod ġenerali joffru li jibqgħu f'burdata tajba.
Din is-soluzzjoni mhix xi ħaġa super oriġinali, iżda pjuttost taħlita ta 'soluzzjonijiet differenti misjuba fuq l-Internet.
Hekk mogħtija
Домен Active Directory.
Utenti tad-dominju li jaħdmu permezz ta' VPN, bħal ħafna llum.
Jaġixxi bħala portal VPN Fortigate.
L-iffrankar tal-password għall-klijent VPN huwa pprojbit mill-politika tas-sigurtà.
Politika Fortinet fir-rigward tat-tokens tiegħek stess, ma tistax issejjaħha inqas minn zhlob - hemm daqs 10 tokens b'xejn, il-bqija - bi prezz mhux kosher ħafna. Ma qistx RSASecureID, Duo u affarijiet simili, għax irrid sors miftuħ.
Prerekwiżiti: ospitanti * nix ma stabbilit freeradius, ssd - imdaħħla fid-dominju, l-utenti tad-dominju jistgħu faċilment jawtentikaw fuqu.
Pakketti addizzjonali: kaxxa tal-shellina, figlett, freeradius-ldap, font ribellu.tlf mir-repożitorju .
Fl-eżempju tiegħi - CentOS 7.8.
Il-loġika tax-xogħol suppost tkun kif ġej: meta tikkonnettja ma 'VPN, l-utent għandu jidħol login tad-dominju u OTP minflok password.
Setup tas-servizzi
В /etc/raddb/radiusd.conf l-utent u l-grupp li f'isimhom jibdew biss freeradius, peress li s-servizz radiusd għandu jkun kapaċi jaqra fajls fis-subdirettorji kollha / dar /.
user = root
group = root
Biex tkun tista' tuża gruppi fis-settings Fortigate, għandhom jiġu trażmessi Attribut Speċifiku tal-Bejjiegħ. Biex tagħmel dan, fid-direttorju raddb/policy.d Noħloq fajl bil-kontenut li ġej:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
Wara l-installazzjoni freeradius-ldap fid-direttorju raddb/mods-disponibbli jinħoloq fajl LDAP.
Ħtieġa li tinħoloq link simboliku għad-direttorju raddb/mods-enabled.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapInġib il-kontenut tiegħu f'din il-formola:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
Fil-fajls raddb/siti-enabled/default и raddb/siti-enabled/inner-tunnel fit-taqsima tawtorizza Inżid l-isem tal-politika li għandha tintuża - group_authorization. Punt importanti - l-isem tal-politika mhuwiex determinat mill-isem tal-fajl fid-direttorju politika.d, iżda minn direttiva ġewwa l-fajl qabel iċ-ċingi kaboċċi.
Fit-taqsima jawtentikaw fl-istess fajls għandek bżonn tneħħi l-kumment tal-linja pam.
Fil-fajl klijenti.conf jippreskrivi l-parametri li se jgħaqqad magħhom Fortigate:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
Konfigurazzjoni tal-modulu pam.d/radjusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
Għażliet ta' implimentazzjoni tal-pakkett default freeradius с google awtentifikatur jeħtieġ li l-utent idaħħal kredenzjali fil-format: username/password+OTP.
Billi timmaġina n-numru ta 'curses li se jaqgħu fuq ir-ras, fil-każ li tuża l-gozz default freeradius с Google Authenticator, ġie deċiż li tintuża l-konfigurazzjoni tal-modulu pam sabiex it-token biss ikun jista' jiġi ċċekkjat Google Authenticator.
Meta utent jikkonnettja, jiġri dan li ġej:
- Freeradius jiċċekkja jekk l-utent hux fid-dominju u f'ċertu grupp u, jekk jirnexxi, jiċċekkja t-token OTP.
Kollox deher tajjeb biżżejjed sal-mument meta ħsibt "Kif nista' nirreġistra l-OTP għal aktar minn 300 utent?"
L-utent għandu jidħol fis-server ma freeradius u minn taħt il-kont tiegħek u mexxi l-applikazzjoni Awtentikatur tal-Google, li se jiġġenera kodiċi QR għall-applikazzjoni għall-utent. Dan huwa fejn tidħol l-għajnuna. kaxxa tal-shellina flimkien ma ' .bash_profile.
[root@freeradius ~]# yum install -y shellinabox
Il-fajl tal-konfigurazzjoni tad-daemon jinsab fuq /etc/sysconfig/shellinabox.
Jien nispeċifika l-port 443 hemmhekk u tista' tispeċifika ċ-ċertifikat tiegħek.
[root@freeradius ~]#systemctl enable --now shellinaboxdL-utent jeħtieġ biss li jsegwi l-link, jidħol krediti tad-dominju u jirċievi kodiċi QR għall-applikazzjoni.
L-algoritmu huwa kif ġej:
- L-utent jidħol fil-magna permezz ta' browser.
- Jekk l-utent tad-dominju huwiex iċċekkjat. Jekk le, allura ma tittieħed l-ebda azzjoni.
- Jekk l-utent huwa utent tad-dominju, is-sħubija fil-grupp Amministraturi tiġi kkontrollata.
- Jekk mhux admin, jiċċekkja jekk Google Authenticator huwiex konfigurat. Jekk le, allura jiġi ġġenerat kodiċi QR u logout tal-utent.
- Jekk mhux amministratur u Google Authenticator huwa kkonfigurat, imbagħad illoggja biss.
- Jekk amministratur, imbagħad iċċekkja Google Authenticator mill-ġdid. Jekk mhux ikkonfigurat, jiġi ġġenerat kodiċi QR.
Il-loġika kollha ssir bl-użu /etc/skel/.bash_profile.
qattus /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
Issaħħaħ is-setup:
- Noħolqu raġġ-server
- Noħolqu l-gruppi meħtieġa, jekk meħtieġ, kontroll ta 'aċċess minn gruppi. Isem tal-grupp fuq Fortigate trid taqbel mal-grupp li jkun mgħoddi Attribut Speċifiku tal-Bejjiegħ Isem-Grupp-Fortinet.
- Editjar dak meħtieġ SSL-portals.
- Żieda ta' gruppi mal-politiki.
Il-vantaġġi ta 'din is-soluzzjoni:
- Huwa possibbli li tivverifika b'OTP fuq Fortigate soluzzjoni ta’ sors miftuħ.
- L-utent ma jdaħħalx password ta 'dominju meta jikkonnettja permezz ta' VPN, li xi ftit tissimplifika l-proċess ta 'konnessjoni. Il-password b'6 ċifri hija aktar faċli biex tidħol minn dik ipprovduta mill-politika tas-sigurtà. Bħala riżultat, in-numru ta 'biljetti bis-suġġett: "Ma nistax nikkonnettja mal-VPN" jonqos.
PS Aħna nippjanaw li naġġornaw din is-soluzzjoni għal awtentikazzjoni sħiħa b'żewġ fatturi bi sfida-rispons.
Aġġornament:
Kif imwiegħed, tweaktha għall-għażla ta 'risfida-rispons.
So:
Fil-fajl /etc/raddb/sites-enabled/default sezzjoni tawtorizza jidher bħal dan:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
Taqsima jawtentikaw issa jidher bħal dan:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
Issa l-verifika tal-utent isseħħ skont l-algoritmu li ġej:
- L-utent idaħħal krediti tad-dominju fil-klijent VPN.
- Freeradius jiċċekkja l-validità tal-kont u l-password
- Jekk il-password hija korretta, allura tintbagħat talba għal token.
- It-token qed jiġi vverifikat.
- profitt).
Sors: www.habr.com