2FA သို့သွားပါ (ASA SSL VPN အတွက် အချက်နှစ်ချက် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း)

ကော်ပိုရိတ်ပတ်ဝန်းကျင်သို့ အဝေးမှဝင်ရောက်ခွင့်ပေးရန် လိုအပ်မှုသည် သင့်အဖွဲ့အစည်းအတွင်းရှိ သီးခြားဆာဗာတစ်ခုသို့ ဝင်ရောက်အသုံးပြုလိုသည့် သင်၏အသုံးပြုသူများ သို့မဟုတ် လုပ်ဖော်ကိုင်ဖက်များဖြစ်စေ မကြာခဏဆိုသလို ပေါ်ထွက်လာနေပါသည်။

ဤရည်ရွယ်ချက်များအတွက်၊ ကုမ္ပဏီအများစုသည် အဖွဲ့အစည်း၏ဒေသခံအရင်းအမြစ်များထံဝင်ရောက်ခွင့်ပေးရန် ယုံကြည်စိတ်ချရသောအကာအကွယ်နည်းလမ်းတစ်ခုဖြစ်ကြောင်း သက်သေပြထားသည့် VPN နည်းပညာကိုအသုံးပြုသည်။

ကျွန်ုပ်၏ကုမ္ပဏီသည် ခြွင်းချက်မဟုတ်ပါ၊ အခြားသူများကဲ့သို့ပင် ကျွန်ုပ်တို့သည် ဤနည်းပညာကို အသုံးပြုပါသည်။ အခြားသူများကဲ့သို့ပင်၊ ကျွန်ုပ်တို့သည် Cisco ASA 55xx ကို အဝေးမှဝင်ရောက်ခွင့်တံခါးပေါက်အဖြစ် အသုံးပြုပါသည်။

အဝေးထိန်းအသုံးပြုသူ အရေအတွက် တိုးလာသည်နှင့်အမျှ အထောက်အထားများ ထုတ်ပေးခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းကို ရိုးရှင်းစေရန် လိုအပ်ပါသည်။ သို့သော် တစ်ချိန်တည်းတွင်၊ ဤအရာသည် ဘေးကင်းမှုကို မထိခိုက်စေဘဲ လုပ်ဆောင်ရမည်ဖြစ်သည်။

ကျွန်ုပ်တို့ကိုယ်တိုင်အတွက်၊ တစ်ကြိမ်သုံးစကားဝှက်များကိုအသုံးပြု၍ Cisco SSL VPN မှတစ်ဆင့် ချိတ်ဆက်ရန်အတွက် two-factor authentication ကိုအသုံးပြုရာတွင် အဖြေတစ်ခုတွေ့ရှိခဲ့သည်။ လိုအပ်သောဆော့ဖ်ဝဲလ်အတွက် အနည်းဆုံးအချိန်နှင့် သုညကုန်ကျစရိတ်ဖြင့် ထိုကဲ့သို့သောဖြေရှင်းချက်ကို မည်သို့စုစည်းရမည်ကို ဤထုတ်ဝေမှုသည် သင့်အားပြောပြလိမ့်မည် (သင့်တွင် Cisco ASA ရှိပြီးသားဖြစ်သည်)။

စျေးကွက်တွင် တစ်ကြိမ်သုံးစကားဝှက်များထုတ်ပေးခြင်းအတွက် ထုပ်ပိုးထားသောဖြေရှင်းချက်များနှင့် ပြည့်နှက်နေပြီး ၎င်းတို့ကိုရယူရန်အတွက် ရွေးချယ်စရာအများအပြားကို SMS မှတစ်ဆင့် စကားဝှက်ပေးပို့ခြင်း သို့မဟုတ် ဟာ့ဒ်ဝဲနှင့် ဆော့ဖ်ဝဲလ်နှစ်ခုလုံး (ဥပမာ၊ မိုဘိုင်းလ်ဖုန်းပေါ်တွင်) တိုကင်များကို အသုံးပြုခြင်းဖြစ်စေ စျေးကွက်တွင် ပြည့်စုံပါသည်။ ဒါပေမယ့် ငွေစုချင်စိတ်နဲ့ အလုပ်ရှင်အတွက် ငွေစုချင်စိတ်က လက်ရှိအကျပ်အတည်းမှာ တစ်ကြိမ်သုံးစကားဝှက်များထုတ်ပေးတဲ့ ဝန်ဆောင်မှုကို အကောင်အထည်ဖော်ဖို့ အခမဲ့နည်းလမ်းကို ရှာခိုင်းခဲ့တယ်။ အခမဲ့ဖြစ်သော်လည်း၊ မည်သည့်အရာက စီးပွားဖြစ်ဖြေရှင်းချက်များနှင့်မျှ နိမ့်ကျသည်မဟုတ်ပါ (ဤထုတ်ကုန်တွင် စီးပွားဖြစ်ဗားရှင်းလည်း ရှိသည်၊ သို့သော် ကျွန်ုပ်တို့၏ကုန်ကျစရိတ်မှာ ငွေအားဖြင့် သုညဖြစ်မည်ဟု ကျွန်ုပ်တို့သဘောတူထားသည်)။

ဒါကြောင့်ကျနော်တို့ကလိုအပ်တယ်:

- ဝဘ်မှတဆင့်ဆာဗာကိုဝင်ရောက်ရန်အတွက် multiOTP၊ FreeRADIUS နှင့် nginx တပ်ဆင်ထားသောကိရိယာအစုံပါသည့် Linux ပုံတစ်ပုံ (http://download.multiotp.net/ - VMware အတွက် အဆင်သင့်လုပ်ထားသောပုံကိုသုံးထားသည်)
- Active Directory ဆာဗာ
- Cisco ASA ကိုယ်တိုင် (အဆင်ပြေစေရန်အတွက်၊ ကျွန်ုပ်သည် ASDM ကိုအသုံးပြုသည်)
— TOTP ယန္တရားကို ပံ့ပိုးပေးသည့် မည်သည့်ဆော့ဖ်ဝဲလ် တိုကင် (ဥပမာ၊ ကျွန်ုပ်သည် Google Authenticator ကို အသုံးပြုသော်လည်း FreeOTP သည် တူညီသည်)

ပုံက ဘယ်လို ပေါက်သွားလဲဆိုတာ အသေးစိတ်တော့ မပြောတော့ပါဘူး။ ရလဒ်အနေဖြင့်၊ သင်သည် multiOTP နှင့် FreeRADIUS ကိုထည့်သွင်းထားပြီး၊ အတူတကွလုပ်ဆောင်ရန်ပြင်ဆင်ထားသည့် Debian Linux ကိုသင်ရရှိမည်ဖြစ်ပြီး OTP စီမံခန့်ခွဲမှုအတွက် ဝဘ်အင်တာဖေ့စ်တစ်ခုအား သင်ရရှိမည်ဖြစ်သည်။

အဆင့် 1. ကျွန်ုပ်တို့သည် စနစ်ကို စတင်ပြီး သင့်ကွန်ရက်အတွက် စီစဉ်သတ်မှတ်ပေးသည်။
ပုံမှန်အားဖြင့်၊ စနစ်သည် root အထောက်အထားများနှင့်အတူလာပါသည်။ ပထမဆုံး login လုပ်ပြီးရင် root user password ကိုပြောင်းတာ ကောင်းမယ်ထင်တယ်။ သင်သည် ကွန်ရက်ဆက်တင်များကို ပြောင်းလဲရန် လိုအပ်သည် (ပုံမှန်အားဖြင့် ၎င်းသည် '192.168.1.44' ဖြစ်ပြီး တံခါးပေါက် '192.168.1.1' ဖြင့်)။ ထို့နောက် system ကို reboot လုပ်နိုင်သည်။

Active Directory တွင် အသုံးပြုသူ ဖန်တီးကြပါစို့ OTPစကားဝှက်ဖြင့် MySuperPassword.

အဆင့် 2. ချိတ်ဆက်မှုကို သတ်မှတ်ပြီး Active Directory အသုံးပြုသူများကို တင်သွင်းပါ။
ဒါကိုလုပ်ဖို့၊ ကျွန်ုပ်တို့သည် ကွန်ဆိုးလ်သို့ဝင်ရောက်ခွင့်နှင့် ဖိုင်သို့ တိုက်ရိုက်ဝင်ရောက်ရန် လိုအပ်ပါသည်။ multiotp.phpActive Directory သို့ ချိတ်ဆက်မှု ဆက်တင်များကို ကျွန်ုပ်တို့ သတ်မှတ်ပေးမည်ကို အသုံးပြု၍၊

လမ်းညွှန်သို့သွားပါ။ /usr/local/bin/multiotp/ ပြီးလျှင် အောက်ပါ command များကို အလှည့်ကျ လုပ်ဆောင်ပါ။

./multiotp.php -config default-request-prefix-pin=0

တစ်ကြိမ်တည်း ပင်နံပါတ် (0 သို့မဟုတ် 1) ကို ထည့်သည့်အခါ အပို (အမြဲတမ်း) ပင်ကို လိုအပ်သည်ဆိုသည်ကို ဆုံးဖြတ်သည်

./multiotp.php -config default-request-ldap-pwd=0

တစ်ကြိမ်တည်း ပင်နံပါတ် (0 သို့မဟုတ် 1) ကို ထည့်သောအခါ ဒိုမိန်းစကားဝှက် လိုအပ်သည်ရှိမရှိ ဆုံးဖြတ်သည်

./multiotp.php -config ldap-server-type=1

LDAP ဆာဗာ အမျိုးအစားကို ညွှန်ပြသည် (0 = ပုံမှန် LDAP ဆာဗာ၊ ကျွန်ုပ်တို့ ကိစ္စတွင် 1 = Active Directory)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

အသုံးပြုသူအမည်ကို တင်ပြမည့် ဖော်မတ်ကို သတ်မှတ်ပါ (ဤတန်ဖိုးသည် ဒိုမိန်းမပါဘဲ အမည်ကိုသာ ဖော်ပြပါမည်)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

အတူတူပါပဲ၊ အုပ်စုတစ်ခုအတွက်သာ

./multiotp.php -config ldap-group-attribute="memberOf"

အသုံးပြုသူတစ်ဦးသည် အဖွဲ့တစ်ခုနှင့်သက်ဆိုင်ခြင်းရှိမရှိ ဆုံးဖြတ်ရန် နည်းလမ်းတစ်ခုကို သတ်မှတ်ပေးသည်။

./multiotp.php -config ldap-ssl=1

LDAP ဆာဗာသို့ လုံခြုံသောချိတ်ဆက်မှုကို ကျွန်ုပ်အသုံးပြုသင့်သလား (ဟုတ်ပါတယ်၊ ဟုတ်ပါတယ်။)

./multiotp.php -config ldap-port=636

LDAP ဆာဗာသို့ ချိတ်ဆက်ရန်အတွက် ပို့တ်

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

သင်၏ Active Directory ဆာဗာလိပ်စာ

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

ကျွန်ုပ်တို့သည် ဒိုမိန်းရှိအသုံးပြုသူများကို စတင်ရှာဖွေရမည့်နေရာကို ညွှန်ပြပါသည်။

./multiotp.php -config ldap-bind-dn="[email protected]"

Active Directory တွင် ရှာဖွေခွင့်ရှိသည့် အသုံးပြုသူကို သတ်မှတ်ပါ။

./multiotp.php -config ldap-server-password="MySuperPassword"

Active Directory သို့ချိတ်ဆက်ရန် အသုံးပြုသူစကားဝှက်ကို သတ်မှတ်ပါ။

./multiotp.php -config ldap-network-timeout=10

Active Directory သို့ ချိတ်ဆက်ရန်အတွက် အချိန်ကုန်ချိန်ကို သတ်မှတ်ခြင်း။

./multiotp.php -config ldap-time-limit=30

ကျွန်ုပ်တို့သည် အသုံးပြုသူတင်သွင်းမှုလုပ်ဆောင်မှုအတွက် အချိန်ကန့်သတ်ချက်တစ်ခုသတ်မှတ်ထားသည်။

./multiotp.php -config ldap-activated=1

Active Directory ချိတ်ဆက်မှုပုံစံကို အသက်သွင်းနေပါသည်။

./multiotp.php -debug -display-log -ldap-users-sync

ကျွန်ုပ်တို့သည် အသုံးပြုသူများကို Active Directory မှ တင်သွင်းပါသည်။

အဆင့် 3. တိုကင်အတွက် QR ကုဒ်တစ်ခု ဖန်တီးပါ။
ဤနေရာတွင် အရာအားလုံးသည် အလွန်ရိုးရှင်းပါသည်။ ဘရောက်ဆာရှိ OTP ဆာဗာ၏ဝဘ်အင်တာဖေ့စ်ကိုဖွင့်ပါ၊ အကောင့်ဝင်ပါ (စီမံခန့်ခွဲသူအတွက် ပုံသေစကားဝှက်ကိုပြောင်းရန် မမေ့ပါနှင့်) နှင့် “ပုံနှိပ်ခြင်း” ခလုတ်ကို နှိပ်ပါ-

ဤလုပ်ဆောင်ချက်၏ရလဒ်သည် QR ကုဒ်နှစ်ခုပါရှိသော စာမျက်နှာဖြစ်လိမ့်မည်။ ၎င်းတို့ထဲမှ ပထမဆုံး (ဆွဲဆောင်မှုရှိသော Google Authenticator / Authenticator / 2 Steps Authenticator) ကို ရဲဝံ့စွာ လျစ်လျူရှုပြီး ဒုတိယကုဒ်ကို ဖုန်းရှိ ဆော့ဖ်ဝဲ တိုကင်တစ်ခုသို့ ရဲဝံ့စွာ စကင်န်ဖတ်ပါ-

(ဟုတ်တယ်၊ ငါဖတ်လို့မရအောင် QR ကုဒ်ကို တမင်ဖျက်လိုက်တာ။

ဤလုပ်ဆောင်ချက်များကို ပြီးမြောက်ပြီးနောက်၊ စက္ကန့်သုံးဆယ်တိုင်း သင့်အပလီကေးရှင်းတွင် ဂဏန်းခြောက်လုံး စကားဝှက်ကို စတင်ထုတ်ပေးပါမည်။

သေချာစေရန်၊ ၎င်းကို တူညီသောအင်တာဖေ့စ်တွင် စစ်ဆေးနိုင်သည်-

သင့်ဖုန်းရှိ အပလီကေးရှင်းမှ သင့်အသုံးပြုသူအမည်နှင့် တစ်ကြိမ်စကားဝှက်ကို ထည့်သွင်းခြင်းဖြင့်။ အပြုသဘောဆောင်တဲ့ တုံ့ပြန်မှုကို သင်ရရှိခဲ့ပါသလား။ ဒါဆို ငါတို့ ဆက်သွားမယ်။

အဆင့် 4. FreeRADIUS လုပ်ဆောင်ချက်၏ ထပ်လောင်းဖွဲ့စည်းပုံနှင့် စမ်းသပ်ခြင်း။
အထက်တွင်ဖော်ပြခဲ့သည့်အတိုင်း MultiOTP သည် FreeRADIUS နှင့်အလုပ်လုပ်ရန်စီစဉ်ထားပြီးဖြစ်သည်၊ ကျန်သည်မှာစမ်းသပ်မှုများလုပ်ဆောင်ရန်နှင့် FreeRADIUS ဖွဲ့စည်းမှုဖိုင်သို့ကျွန်ုပ်တို့၏ VPN gateway နှင့်ပတ်သက်သောအချက်အလက်များထည့်ရန်ဖြစ်သည်။

ကျွန်ုပ်တို့သည် ဆာဗာကွန်ဆိုးလ်၊ လမ်းညွှန်သို့ ပြန်သွားကြသည်။ /usr/local/bin/multiotp/, enter :

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

အသေးစိပ် မှတ်တမ်းတင်ခြင်း အပါအဝင်။

FreeRADIUS clients configuration file တွင် (/etc/freeradius/clinets.conf) နှင့် သက်ဆိုင်သော စာကြောင်းများအားလုံးကို comment ပေးပါ။ localhost နှင့် entry နှစ်ခုထည့်ပါ-

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- စာမေးပွဲအတွက်

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- ကျွန်ုပ်တို့၏ VPN တံခါးပေါက်အတွက်။

FreeRADIUS ကို ပြန်လည်စတင်ပြီး အကောင့်ဝင်ရန် ကြိုးစားပါ-

radtest username 100110 localhost 1812 testing321

ဘယ်မှာ အသုံးပြုသူအမည် = အသုံးပြုသူအမည်၊ 100110 = ဖုန်းပေါ်ရှိ အပလီကေးရှင်းဖြင့် ကျွန်ုပ်တို့အား ပေးထားသော စကားဝှက်၊ localhost = RADIUS ဆာဗာလိပ်စာ၊ 1812 — RADIUS ဆာဗာဆိပ်ကမ်း၊ testing321 — RADIUS ဆာဗာဖောက်သည်စကားဝှက် (config တွင်ကျွန်ုပ်တို့သတ်မှတ်ထားသော)။

ဤ command ၏ရလဒ်သည်အောက်ပါအတိုင်းခန့်မှန်းခြေအားဖြင့် output ဖြစ်လိမ့်မည်။

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

ယခု ကျွန်ုပ်တို့သည် အသုံးပြုသူအား အောင်အောင်မြင်မြင် စစ်မှန်ကြောင်းသေချာစေရန် လိုအပ်ပါသည်။ ဒါကိုလုပ်ဖို့၊ multiotp သူ့ဟာသူရဲ့ မှတ်တမ်းကို ကြည့်ပါမယ်။

tail /var/log/multiotp/multiotp.log

အကယ်၍ နောက်ဆုံးဝင်ရောက်မှုမှာ-

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

အဲဒီအခါမှာ အားလုံးအဆင်ပြေသွားပြီး ကျွန်တော်တို့ ပြီးမြောက်နိုင်ပါတယ်။

အဆင့် 5- Cisco ASA ကို စီစဉ်သတ်မှတ်ပါ။
ကျွန်ုပ်တို့တွင် SLL VPN မှတစ်ဆင့် ဝင်ရောက်အသုံးပြုနိုင်ရန် စီစဉ်သတ်မှတ်ထားသော အဖွဲ့နှင့် မူဝါဒများရှိပြီး၊ Active Directory နှင့် တွဲဖက်၍ ပြင်ဆင်သတ်မှတ်ထားပြီး၊ ဤပရိုဖိုင်အတွက် အချက်နှစ်ချက် အထောက်အထားစိစစ်ခြင်းကို ထည့်သွင်းရန် လိုအပ်ပါသည်။

1. AAA ဆာဗာအဖွဲ့အသစ်ကို ထည့်ပါ-

2. ကျွန်ုပ်တို့၏ multiOTP ဆာဗာကို အဖွဲ့ထဲသို့ ထည့်ပါ-

3. ကျွန်တော်တို့ တည်းဖြတ်တယ်။ ချိတ်ဆက်မှုပရိုဖိုင်Active Directory ဆာဗာအုပ်စုကို ပင်မအထောက်အထားစိစစ်ခြင်းဆာဗာအဖြစ် သတ်မှတ်ခြင်း-

4. tab မှာ Advanced -> Authentication ကျွန်ုပ်တို့သည် Active Directory ဆာဗာအဖွဲ့ကိုလည်း ရွေးချယ်သည်-

5. tab မှာ အဆင့်မြင့် -> အလယ်တန်း စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း၊ multiOTP ဆာဗာမှတ်ပုံတင်ထားသည့် ဖန်တီးထားသော ဆာဗာအုပ်စုကို ရွေးချယ်ပါ။ Session အသုံးပြုသူအမည်ကို အဓိက AAA ဆာဗာအုပ်စုမှ အမွေဆက်ခံကြောင်း သတိပြုပါ-

ဆက်တင်များနှင့် အသုံးချပါ။

အဆင့် 6၊ နောက်ဆုံးတစ်ခု
SLL VPN အတွက် two-factor authentication အလုပ်လုပ်သလား စစ်ဆေးကြည့်ရအောင်။

ကဲ ဒါဆိုရင်တော့! Cisco AnyConnect VPN Client မှတစ်ဆင့် ချိတ်ဆက်သည့်အခါတွင်၊ သင်သည် တစ်စက္ကန့်၊ တစ်ကြိမ် စကားဝှက်တစ်ခု တောင်းဆိုမည်ဖြစ်သည်။

ဤဆောင်းပါးသည် တစ်စုံတစ်ဦးကို အထောက်အကူဖြစ်စေမည်ဟု မျှော်လင့်ပါသည်၊ ၎င်းသည် တစ်စုံတစ်ဦးကို မည်သို့အသုံးပြုရမည်ကို တွေးခေါ်နိုင်စေရန်အတွက် အထောက်အကူဖြစ်စေမည်ဟု မျှော်လင့်ပါသည်။ အခမဲ့ အခြားလုပ်ဆောင်စရာများအတွက် OTP ဆာဗာ။ ဆန္ဒရှိရင် comment မှာ မျှဝေပေးပါ။

source: www.habr.com