Il-ħtieġa li jiġi pprovdut aċċess mill-bogħod għal ambjent korporattiv qed titfaċċa aktar u aktar spiss, irrispettivament minn jekk humiex l-utenti jew l-imsieħba tiegħek li jeħtieġu aċċess għal server partikolari fl-organizzazzjoni tiegħek.
Għal dawn l-għanijiet, il-biċċa l-kbira tal-kumpaniji jużaw it-teknoloġija VPN, li wriet li hija mod protett b'mod affidabbli biex jipprovdi aċċess għar-riżorsi lokali tal-organizzazzjoni.
Il-kumpanija tiegħi ma kinitx eċċezzjoni, u aħna, bħal ħafna oħrajn, nużaw din it-teknoloġija. U, bħal ħafna oħrajn, nużaw Cisco ASA 55xx bħala portal ta' aċċess mill-bogħod.
Hekk kif in-numru ta 'utenti remoti jiżdied, hemm bżonn li tiġi ssimplifikata l-proċedura għall-ħruġ tal-kredenzjali. Iżda fl-istess ħin, dan għandu jsir mingħajr ma tiġi kompromessa s-sigurtà.
Għalina nfusna, sibna soluzzjoni fl-użu ta 'awtentikazzjoni b'żewġ fatturi għall-konnessjoni permezz ta' Cisco SSL VPN, bl-użu ta 'passwords ta' darba. U din il-pubblikazzjoni tgħidlek kif torganizza soluzzjoni bħal din b'ħin minimu u spejjeż żero għas-softwer meħtieġ (sakemm diġà għandek Cisco ASA fl-infrastruttura tiegħek).
Is-suq huwa mimli b'soluzzjonijiet f'kaxxa għall-ġenerazzjoni ta 'passwords ta' darba, filwaqt li joffri ħafna għażliet biex jinkisbu, kemm jekk tintbagħat il-password permezz ta 'SMS jew tuża tokens, kemm ħardwer kif ukoll softwer (per eżempju, fuq mowbajl). Iżda x-xewqa li tiffranka l-flus u x-xewqa li tiffranka l-flus għal min iħaddimni, fil-kriżi attwali, ġiegħluni nsib mod b'xejn biex nimplimenta servizz għall-ġenerazzjoni ta 'passwords ta' darba. Li, filwaqt li b’xejn, ma tantx inferjuri għal soluzzjonijiet kummerċjali (hawnhekk għandna nagħmlu riżerva, billi ninnutaw li dan il-prodott għandu wkoll verżjoni kummerċjali, iżda qbilna li l-ispejjeż tagħna, fi flus, se jkunu żero).
Allura, ser ikollna bżonn:
- Immaġini Linux b'sett ta' għodod inkorporati - multiOTP, FreeRADIUS u nginx, għall-aċċess għas-server permezz tal-web (http://download.multiotp.net/ - użajt immaġni lesta għal VMware)
— Server ta' Direttorju Attiv
— Cisco ASA innifsu (għall-konvenjenza, nuża l-ASDM)
— Kwalunkwe token tas-softwer li jappoġġja l-mekkaniżmu TOTP (jien, pereżempju, nuża Google Authenticator, iżda l-istess FreeOTP se jagħmel)
Mhux se nidħol fid-dettalji ta 'kif tiżvolġi l-immaġni. Bħala riżultat, inti tirċievi Debian Linux b'multiOTP u FreeRADIUS diġà installati, konfigurati biex jaħdmu flimkien, u interface tal-web għall-amministrazzjoni tal-OTP.
Pass 1. Nibdew is-sistema u kkonfiguraha għan-netwerk tiegħek
B'mod awtomatiku, is-sistema tiġi bi kredenzjali tal-għeruq tal-għeruq. Naħseb li kulħadd ħaseb li tkun idea tajba li tinbidel il-password tal-utent tal-għeruq wara l-ewwel login. Għandek bżonn ukoll tibdel is-settings tan-netwerk (b'mod awtomatiku huwa '192.168.1.44' bil-gateway '192.168.1.1'). Wara inti tista reboot is-sistema.
Ejja noħolqu utent fl-Active Directory otp, bil-password MySuperPassword.
Pass 2. Twaqqaf il-konnessjoni u timporta l-utenti ta 'Active Directory
Biex tagħmel dan, għandna bżonn aċċess għall-console, u direttament għall-fajl multiotp.php, bl-użu tagħha aħna ser tikkonfigura s-settings tal-konnessjoni għal Active Directory.
Mur fid-direttorju /usr/local/bin/multiotp/ u tesegwixxi l-kmandi li ġejjin wara xulxin:
./multiotp.php -config default-request-prefix-pin=0
Jiddetermina jekk hux meħtieġ pin addizzjonali (permanenti) meta ddaħħal pin ta' darba (0 jew 1)
./multiotp.php -config default-request-ldap-pwd=0
Jiddetermina jekk hijiex meħtieġa password tad-dominju meta ddaħħal pin ta' darba (0 jew 1)
./multiotp.php -config ldap-server-type=1
It-tip ta' server LDAP huwa indikat (0 = server LDAP regolari, fil-każ tagħna 1 = Active Directory)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"
Jispeċifika l-format li fih għandu jiġi ppreżentat l-isem tal-utent (dan il-valur se juri biss l-isem, mingħajr id-dominju)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"
L-istess ħaġa, għal grupp biss
./multiotp.php -config ldap-group-attribute="memberOf"
Jispeċifika metodu biex jiġi ddeterminat jekk utent jappartjenix għal grupp
./multiotp.php -config ldap-ssl=1
Għandi nuża konnessjoni sigura mas-server LDAP (naturalment - iva!)
./multiotp.php -config ldap-port=636
Port għall-konnessjoni mas-server LDAP
./multiotp.php -config ldap-domain-controllers=adSRV.domain.local
L-indirizz tiegħek tas-server ta' l-Active Directory
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"
Aħna nindikaw minn fejn tibda tfittex għall-utenti fid-dominju
./multiotp.php -config ldap-bind-dn="[email protected]"
Speċifika utent li għandu drittijiet ta' tfittxija fl-Active Directory
./multiotp.php -config ldap-server-password="MySuperPassword"
Speċifika l-password tal-utent biex tikkonnettja mal-Active Directory
./multiotp.php -config ldap-network-timeout=10
L-issettjar tal-timeout għall-konnessjoni ma 'Active Directory
./multiotp.php -config ldap-time-limit=30
Aħna stabbilixxew limitu ta 'żmien għall-operazzjoni ta' importazzjoni tal-utent
./multiotp.php -config ldap-activated=1
Attivazzjoni tal-konfigurazzjoni tal-konnessjoni Active Directory
./multiotp.php -debug -display-log -ldap-users-sync
Aħna importaw utenti minn Active Directory
Pass 3. Iġġenera kodiċi QR għat-token
Kollox hawnhekk huwa estremament sempliċi. Iftaħ l-interface tal-web tas-server OTP fil-browser, idħol (tinsiex tibdel il-password default għall-amministratur!), U kklikkja fuq il-buttuna "Stampa":
Ir-riżultat ta’ din l-azzjoni se jkun paġna li fiha żewġ kodiċijiet QR. Aħna bil-kuraġġ ninjoraw l-ewwel wieħed minnhom (minkejja l-iskrizzjoni attraenti Google Authenticator / Authenticator / 2 Steps Authenticator), u għal darb'oħra aħna bil-qlubija niskennjaw it-tieni kodiċi f'token tas-softwer fuq it-telefon:
(iva, deliberatament ħassejt il-kodiċi QR biex ma jkunx jista' jinqara).
Wara li tlesti dawn l-azzjonijiet, se tibda tiġi ġġenerata password b'sitt ċifri fl-applikazzjoni tiegħek kull tletin sekonda.
Biex tkun ċert, tista 'tiċċekkjaha fl-istess interface:
Billi ddaħħal il-username u l-password ta' darba mill-applikazzjoni fuq it-telefon tiegħek. Irċevejt rispons pożittiv? Allura nimxu 'l quddiem.
Pass 4. Konfigurazzjoni u ttestjar addizzjonali tal-operazzjoni FreeRADIUS
Kif semmejt hawn fuq, multiOTP huwa diġà kkonfigurat biex jaħdem ma 'FreeRADIUS, dak kollu li jibqa' huwa li tmexxi testijiet u żżid informazzjoni dwar il-portal VPN tagħna mal-fajl ta 'konfigurazzjoni ta' FreeRADIUS.
Nirritornaw lejn is-server console, fid-direttorju /usr/local/bin/multiotp/, daħħal:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1
Inkluż logging aktar dettaljat.
Fil-fajl tal-konfigurazzjoni tal-klijenti FreeRADIUS (/etc/freeradius/clinets.conf) jikkummenta l-linji kollha relatati magħhom localhost u żid żewġ entrati:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}
- għat-test
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}
— għall-portal VPN tagħna.
Erġa' ibda FreeRADIUS u ipprova illoggja:
radtest username 100110 localhost 1812 testing321
fejn username = username, 100110 = password mogħtija lilna mill-applikazzjoni fuq it-telefon, localhost = indirizz tas-server RADIUS, 1812 — Port tas-server RADIUS, ittestjar321 — Password tal-klijent tas-server RADIUS (li speċifikajna fil-konfigurazzjoni).
Ir-riżultat ta 'dan il-kmand se joħroġ bejn wieħed u ieħor kif ġej:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20
Issa għandna bżonn niżguraw li l-utent ikun awtentikat b'suċċess. Biex tagħmel dan, se nħarsu lejn il-log tal-multiotp innifsu:
tail /var/log/multiotp/multiotp.log
U jekk l-aħħar daħla hemm:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1
Imbagħad kollox mar tajjeb u nistgħu nlestu
Pass 5: Ikkonfigura Cisco ASA
Ejja naqblu li diġà għandna grupp konfigurat u politiki għall-aċċess permezz SLL VPN, ikkonfigurat flimkien ma 'Active Directory, u għandna bżonn inżidu awtentikazzjoni b'żewġ fatturi għal dan il-profil.
1. Żid grupp ġdid ta' servers AAA:
2. Żid is-server multiOTP tagħna mal-grupp:
3. Aħna neditjaw profil tal-konnessjoni, issettja l-grupp tas-server tal-Active Directory bħala s-server ewlieni tal-awtentikazzjoni:
4. Fit-tab Avvanzata -> Awtentikazzjoni Aħna nagħżlu wkoll il-grupp tas-server Active Directory:
5. Fit-tab Avvanzat -> Sekondarja awtentikazzjoni, agħżel il-grupp tas-server maħluq li fih ikun irreġistrat is-server multiOTP. Innota li l-isem tal-utent tas-Sessjoni jintiret mill-grupp primarju tas-server AAA:
Applika s-settings u
Pass 6, magħruf ukoll bħala l-aħħar wieħed
Ejja niċċekkja jekk l-awtentikazzjoni b'żewġ fatturi taħdimx għal SLL VPN:
Voila! Meta tikkonnettja permezz ta 'Cisco AnyConnect VPN Client, inti tintalab ukoll it-tieni password ta' darba.
Nittama li dan l-artikolu jgħin lil xi ħadd, u li jagħti lil xi ħadd ikel għal ħsieb dwar kif juża dan, b’xejn Server OTP, għal kompiti oħra. Aqsam fil-kummenti jekk tixtieq.
Sors: www.habr.com