áá±á¬áºááá¯ááááºáááºáááºážáá»ááºááá¯á· á¡áá±ážááŸáááºáá±á¬ááºááœáá·áºáá±ážááẠááá¯á¡ááºááŸá¯ááẠááá·áºá¡ááœá²á·á¡á ááºážá¡ááœááºážááŸá áá®ážááŒá¬ážáá¬áá¬áá áºáá¯ááá¯á· áááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááá¯ááá·áº áááºáá¡áá¯á¶ážááŒá¯áá°áá»á¬áž ááá¯á·ááá¯áẠáá¯ááºáá±á¬áºááá¯ááºáááºáá»á¬ážááŒá áºá á± áááŒá¬ááááá¯áááᯠáá±á«áºááœááºáá¬áá±áá«áááºá
á€áááºááœááºáá»ááºáá»á¬ážá¡ááœááºá áá¯áá¹ááá®á¡áá»á¬ážá á¯ááẠá¡ááœá²á·á¡á ááºážááá±ááá¶á¡áááºážá¡ááŒá áºáá»á¬ážáá¶áááºáá±á¬ááºááœáá·áºáá±ážááẠáá¯á¶ááŒááºá áááºáá»ááá±á¬á¡áá¬á¡ááœááºáááºážáááºážáá áºáá¯ááŒá áºááŒá±á¬ááºáž áááºáá±ááŒáá¬ážááá·áº VPN áááºážááá¬ááá¯á¡áá¯á¶ážááŒá¯áááºá
áá»áœááºá¯ááºááá¯áá¹ááá®ááẠááŒáœááºážáá»ááºááá¯ááºáá«á á¡ááŒá¬ážáá°áá»á¬ážáá²á·ááá¯á·ááẠáá»áœááºá¯ááºááá¯á·ááẠá€áááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá á¡ááŒá¬ážáá°áá»á¬ážáá²á·ááá¯á·áááºá áá»áœááºá¯ááºááá¯á·ááẠCisco ASA 55xx ááᯠá¡áá±ážááŸáááºáá±á¬ááºááœáá·áºáá¶áá«ážáá±á«ááºá¡ááŒá Ạá¡áá¯á¶ážááŒá¯áá«áááºá
á¡áá±ážááááºážá¡áá¯á¶ážááŒá¯áá° á¡áá±á¡ááœáẠááá¯ážáá¬áááºááŸáá·áºá¡áá»áŸ á¡áá±á¬ááºá¡áá¬ážáá»á¬áž áá¯ááºáá±ážááŒááºážááá¯ááºáᬠáá¯ááºáá¯á¶ážáá¯ááºáááºážááᯠááá¯ážááŸááºážá á±ááẠááá¯á¡ááºáá«áááºá ááá¯á·áá±á¬áº áá áºáá»áááºáááºážááœááºá á€á¡áá¬ááẠáá±ážáááºážááŸá¯ááᯠáááááá¯ááºá á±áá² áá¯ááºáá±á¬ááºááááºááŒá áºáááºá
áá»áœááºá¯ááºááá¯á·ááá¯ááºááá¯ááºá¡ááœááºá áá áºááŒáááºáá¯á¶ážá áá¬ážááŸááºáá»á¬ážááá¯á¡áá¯á¶ážááŒá¯á Cisco SSL VPN ááŸáá áºááá·áº áá»áááºáááºáááºá¡ááœáẠtwo-factor authentication ááá¯á¡áá¯á¶ážááŒá¯áá¬ááœáẠá¡ááŒá±áá áºáá¯ááœá±á·ááŸááá²á·áááºá ááá¯á¡ááºáá±á¬áá±á¬á·ááºáá²ááºá¡ááœáẠá¡áááºážáá¯á¶ážá¡áá»áááºááŸáá·áº áá¯ááá¯ááºáá»á ááááºááŒáá·áº ááá¯áá²á·ááá¯á·áá±á¬ááŒá±ááŸááºážáá»ááºááᯠáááºááá¯á·á á¯á ááºážááááºááᯠá€áá¯ááºáá±ááŸá¯ááẠááá·áºá¡á¬ážááŒá±á¬ááŒáááá·áºááẠ(ááá·áºááœáẠCisco ASA ááŸáááŒá®ážáá¬ážááŒá áºáááº)á
á
á»á±ážááœááºááœáẠáá
áºááŒáááºáá¯á¶ážá
áá¬ážááŸááºáá»á¬ážáá¯ááºáá±ážááŒááºážá¡ááœáẠáá¯ááºááá¯ážáá¬ážáá±á¬ááŒá±ááŸááºážáá»ááºáá»á¬ážááŸáá·áº ááŒáá·áºááŸááºáá±ááŒá®áž áááºážááá¯á·ááá¯ááá°áááºá¡ááœáẠááœá±ážáá»ááºá
áá¬á¡áá»á¬ážá¡ááŒá¬ážááᯠSMS ááŸáá
áºááá·áº á
áá¬ážááŸááºáá±ážááá¯á·ááŒááºáž ááá¯á·ááá¯áẠáá¬á·ááºáá²ááŸáá·áº áá±á¬á·ááºáá²ááºááŸá
áºáá¯áá¯á¶áž (á¥ááá¬á ááá¯ááá¯ááºážááºáá¯ááºážáá±á«áºááœááº) ááá¯áááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááŒá
áºá
á± á
á»á±ážááœááºááœáẠááŒáá·áºá
á¯á¶áá«áááºá áá«áá±ááá·áº ááœá±á
á¯áá»ááºá
áááºáá²á· á¡áá¯ááºááŸááºá¡ááœáẠááœá±á
á¯áá»ááºá
áááºá áááºááŸáá¡áá»ááºá¡áááºážááŸá¬ áá
áºááŒáááºáá¯á¶ážá
áá¬ážááŸááºáá»á¬ážáá¯ááºáá±ážáá²á· áááºáá±á¬ááºááŸá¯ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááá¯á· á¡ááá²á·áááºážáááºážááᯠááŸá¬ááá¯ááºážáá²á·áááºá á¡ááá²á·ááŒá
áºáá±á¬áºáááºážá áááºááá·áºá¡áá¬á á
á®ážááœá¬ážááŒá
áºááŒá±ááŸááºážáá»ááºáá»á¬ážááŸáá·áºáá»áŸ áááá·áºáá»áááºááá¯ááºáá« (á€áá¯ááºáá¯ááºááœáẠá
á®ážááœá¬ážááŒá
áºáá¬ážááŸááºážáááºáž ááŸááááºá ááá¯á·áá±á¬áº áá»áœááºá¯ááºááá¯á·ááá¯ááºáá»á
ááááºááŸá¬ ááœá±á¡á¬ážááŒáá·áº áá¯áááŒá
áºáááºáᯠáá»áœááºá¯ááºááá¯á·ááá±á¬áá°áá¬ážáááº)á
áá«ááŒá±á¬ááºá·áá»áá±á¬áºááá¯á·áááá¯á¡ááºáááº:
- áááºááŸáááá·áºáá¬áá¬ááá¯áááºáá±á¬ááºáááºá¡ááœáẠmultiOTPá FreeRADIUS ááŸáá·áº nginx áááºáááºáá¬ážáá±á¬áááááá¬á¡á
á¯á¶áá«ááá·áº Linux áá¯á¶áá
áºáá¯á¶ (http://download.multiotp.net/ - VMware á¡ááœáẠá¡áááºááá·áºáá¯ááºáá¬ážáá±á¬áá¯á¶ááá¯áá¯á¶ážáá¬ážáááº)
- Active Directory áá¬áá¬
- Cisco ASA ááá¯ááºááá¯áẠ(á¡áááºááŒá±á
á±áááºá¡ááœááºá áá»áœááºá¯ááºááẠASDM ááá¯á¡áá¯á¶ážááŒá¯áááº)
â TOTP ááá¹ááá¬ážááᯠáá¶á·ááá¯ážáá±ážááá·áº áááºááá·áºáá±á¬á·ááºáá²áẠááá¯ááẠ(á¥ááá¬á áá»áœááºá¯ááºááẠGoogle Authenticator ááᯠá¡áá¯á¶ážááŒá¯áá±á¬áºáááºáž FreeOTP ááẠáá°áá®áááº)
áá¯á¶á áááºááᯠáá±á«ááºááœá¬ážáá²ááá¯áᬠá¡áá±ážá áááºáá±á¬á· áááŒá±á¬áá±á¬á·áá«áá°ážá ááááºá¡áá±ááŒáá·áºá áááºááẠmultiOTP ááŸáá·áº FreeRADIUS ááá¯ááá·áºááœááºážáá¬ážááŒá®ážá á¡áá°áááœáá¯ááºáá±á¬ááºáááºááŒááºáááºáá¬ážááá·áº Debian Linux ááá¯áááºáááŸááááºááŒá áºááŒá®áž OTP á á®áá¶ááá·áºááœá²ááŸá¯á¡ááœáẠáááºá¡ááºáá¬áá±á·á áºáá áºáá¯á¡á¬áž áááºáááŸááááºááŒá áºáááºá
á¡ááá·áº 1. áá»áœááºá¯ááºááá¯á·ááẠá
áá
áºááᯠá
áááºááŒá®áž ááá·áºááœááºáááºá¡ááœáẠá
á®á
ááºáááºááŸááºáá±ážáááºá
áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá á
áá
áºááẠroot á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááŸáá·áºá¡áá°áá¬áá«áááºá ááááá¯á¶áž login áá¯ááºááŒá®ážááẠroot user password ááá¯ááŒá±á¬ááºážáᬠáá±á¬ááºážáááºáááºáááºá áááºááẠááœááºáááºáááºáááºáá»á¬ážááᯠááŒá±á¬ááºážáá²ááẠááá¯á¡ááºááẠ(áá¯á¶ááŸááºá¡á¬ážááŒáá·áº áááºážááẠ'192.168.1.44' ááŒá
áºááŒá®áž áá¶áá«ážáá±á«áẠ'192.168.1.1' ááŒáá·áº)á ááá¯á·áá±á¬áẠsystem ááᯠreboot áá¯ááºááá¯ááºáááºá
Active Directory ááœáẠá¡áá¯á¶ážááŒá¯áá° áááºáá®ážááŒáá«á áá¯á· OTPá áá¬ážááŸááºááŒáá·áº MySuperPassword.
á¡ááá·áº 2. áá»áááºáááºááŸá¯ááᯠáááºááŸááºááŒá®áž Active Directory á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠáááºááœááºážáá«á
áá«ááá¯áá¯ááºááá¯á·á áá»áœááºá¯ááºááá¯á·ááẠááœááºááá¯ážááºááá¯á·áááºáá±á¬ááºááœáá·áºááŸáá·áº ááá¯ááºááá¯á· ááá¯ááºááá¯ááºáááºáá±á¬ááºááẠááá¯á¡ááºáá«áááºá multiotp.phpActive Directory ááá¯á· áá»áááºáááºááŸá¯ áááºáááºáá»á¬ážááᯠáá»áœááºá¯ááºááá¯á· áááºááŸááºáá±ážáááºááᯠá¡áá¯á¶ážááŒá¯áá
áááºážááœáŸááºááá¯á·ááœá¬ážáá«á /usr/local/bin/multiotp/ ááŒá®ážáá»áŸáẠá¡á±á¬ááºáá« command áá»á¬ážááᯠá¡ááŸáá·áºáá» áá¯ááºáá±á¬ááºáá«á
./multiotp.php -config default-request-prefix-pin=0
áá áºááŒáááºáááºáž áááºáá¶áá«áẠ(0 ááá¯á·ááá¯áẠ1) ááᯠááá·áºááá·áºá¡áá« á¡ááᯠ(á¡ááŒá²áááºáž) áááºááᯠááá¯á¡ááºáááºááá¯áááºááᯠáá¯á¶ážááŒááºáááº
./multiotp.php -config default-request-ldap-pwd=0
áá áºááŒáááºáááºáž áááºáá¶áá«áẠ(0 ááá¯á·ááá¯áẠ1) ááᯠááá·áºáá±á¬á¡áá« ááá¯ááááºážá áá¬ážááŸáẠááá¯á¡ááºáááºááŸááááŸá áá¯á¶ážááŒááºáááº
./multiotp.php -config ldap-server-type=1
LDAP áá¬áᬠá¡áá»áá¯ážá¡á á¬ážááᯠááœáŸááºááŒááẠ(0 = áá¯á¶ááŸáẠLDAP áá¬áá¬á áá»áœááºá¯ááºááá¯á· ááá á¹á ááœáẠ1 = Active Directory)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"
á¡áá¯á¶ážááŒá¯áá°á¡áááºááᯠáááºááŒááá·áº áá±á¬áºáááºááᯠáááºááŸááºáá« (á€áááºááá¯ážááẠááá¯ááááºážááá«áá² á¡áááºááá¯áᬠáá±á¬áºááŒáá«áááº)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"
á¡áá°áá°áá«áá²á á¡á¯ááºá á¯áá áºáá¯á¡ááœááºáá¬
./multiotp.php -config ldap-group-attribute="memberOf"
á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááẠá¡ááœá²á·áá áºáá¯ááŸáá·áºáááºááá¯ááºááŒááºážááŸááááŸá áá¯á¶ážááŒááºááẠáááºážáááºážáá áºáá¯ááᯠáááºááŸááºáá±ážáááºá
./multiotp.php -config ldap-ssl=1
LDAP áá¬áá¬ááá¯á· áá¯á¶ááŒá¯á¶áá±á¬áá»áááºáááºááŸá¯ááᯠáá»áœááºá¯ááºá¡áá¯á¶ážááŒá¯ááá·áºááá¬áž (áá¯ááºáá«áááºá áá¯ááºáá«áááºá)
./multiotp.php -config ldap-port=636
LDAP áá¬áá¬ááá¯á· áá»áááºáááºáááºá¡ááœáẠááá¯á·ááº
./multiotp.php -config ldap-domain-controllers=adSRV.domain.local
áááºá Active Directory áá¬áá¬ááááºá á¬
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"
áá»áœááºá¯ááºááá¯á·ááẠááá¯ááááºážááŸáá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠá áááºááŸá¬ááœá±áááá·áºáá±áá¬ááᯠááœáŸááºááŒáá«áááºá
./multiotp.php -config ldap-bind-dn="[email protected]"
Active Directory ááœáẠááŸá¬ááœá±ááœáá·áºááŸáááá·áº á¡áá¯á¶ážááŒá¯áá°ááᯠáááºááŸááºáá«á
./multiotp.php -config ldap-server-password="MySuperPassword"
Active Directory ááá¯á·áá»áááºáááºááẠá¡áá¯á¶ážááŒá¯áá°á áá¬ážááŸááºááᯠáááºááŸááºáá«á
./multiotp.php -config ldap-network-timeout=10
Active Directory ááá¯á· áá»áááºáááºáááºá¡ááœáẠá¡áá»áááºáá¯ááºáá»áááºááᯠáááºááŸááºááŒááºážá
./multiotp.php -config ldap-time-limit=30
áá»áœááºá¯ááºááá¯á·ááẠá¡áá¯á¶ážááŒá¯áá°áááºááœááºážááŸá¯áá¯ááºáá±á¬ááºááŸá¯á¡ááœáẠá¡áá»áááºááá·áºáááºáá»ááºáá áºáá¯áááºááŸááºáá¬ážáááºá
./multiotp.php -config ldap-activated=1
Active Directory áá»áááºáááºááŸá¯áá¯á¶á á¶ááᯠá¡áááºááœááºážáá±áá«áááºá
./multiotp.php -debug -display-log -ldap-users-sync
áá»áœááºá¯ááºááá¯á·ááẠá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠActive Directory á០áááºááœááºážáá«áááºá
á¡ááá·áº 3. ááá¯áááºá¡ááœáẠQR áá¯ááºáá
áºáᯠáááºáá®ážáá«á
á€áá±áá¬ááœáẠá¡áá¬á¡á¬ážáá¯á¶ážááẠá¡ááœááºááá¯ážááŸááºážáá«áááºá ááá±á¬ááºáá¬ááŸá OTP áá¬áá¬ááááºá¡ááºáá¬áá±á·á
áºááá¯ááœáá·áºáá«á á¡áá±á¬áá·áºáááºáá« (á
á®áá¶ááá·áºááœá²áá°á¡ááœáẠáá¯á¶áá±á
áá¬ážááŸááºááá¯ááŒá±á¬ááºážááẠááá±á·áá«ááŸáá·áº) ááŸáá·áº âáá¯á¶ááŸáááºááŒááºážâ ááá¯ááºááᯠááŸáááºáá«-
á€áá¯ááºáá±á¬ááºáá»ááºáááááºááẠQR áá¯ááºááŸá
áºáá¯áá«ááŸááá±á¬ á
á¬áá»ááºááŸá¬ááŒá
áºáááá·áºáááºá áááºážááá¯á·áá²á០ááááá¯á¶áž (ááœá²áá±á¬ááºááŸá¯ááŸááá±á¬ Google Authenticator / Authenticator / 2 Steps Authenticator) ááᯠáá²áá¶á·á
áœá¬ áá»á
áºáá»á°ááŸá¯ááŒá®áž áá¯ááááá¯ááºááᯠáá¯ááºážááŸá áá±á¬á·ááºáá² ááá¯áááºáá
áºáá¯ááá¯á· áá²áá¶á·á
áœá¬ á
áááºááºáááºáá«-
(áá¯ááºáááºá áá«áááºááá¯á·ááá¡á±á¬áẠQR áá¯ááºááᯠááááºáá»ááºááá¯ááºáá¬á
á€áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠááŒá®ážááŒá±á¬ááºááŒá®ážáá±á¬ááºá á áá¹ááá·áºáá¯á¶ážáááºááá¯ááºáž ááá·áºá¡ááá®áá±ážááŸááºážááœáẠááááºážááŒá±á¬ááºáá¯á¶áž á áá¬ážááŸááºááᯠá áááºáá¯ááºáá±ážáá«áááºá
áá±áá»á¬á á±áááºá áááºážááᯠáá°áá®áá±á¬á¡ááºáá¬áá±á·á áºááœáẠá á áºáá±ážááá¯ááºáááº-
ááá·áºáá¯ááºážááŸá á¡ááá®áá±ážááŸááºážá០ááá·áºá¡áá¯á¶ážááŒá¯áá°á¡áááºááŸáá·áº áá
áºááŒáááºá
áá¬ážááŸááºááᯠááá·áºááœááºážááŒááºážááŒáá·áºá á¡ááŒá¯ááá±á¬áá±á¬ááºáá²á· áá¯á¶á·ááŒááºááŸá¯ááᯠáááºáááŸááá²á·áá«ááá¬ážá áá«ááᯠáá«ááá¯á· áááºááœá¬ážáááºá
á¡ááá·áº 4. FreeRADIUS áá¯ááºáá±á¬ááºáá»ááºá áááºáá±á¬ááºážááœá²á·á
ááºážáá¯á¶ááŸáá·áº á
ááºážáááºááŒááºážá
á¡áááºááœááºáá±á¬áºááŒáá²á·ááá·áºá¡ááá¯ááºáž MultiOTP ááẠFreeRADIUS ááŸáá·áºá¡áá¯ááºáá¯ááºáááºá
á®á
ááºáá¬ážááŒá®ážááŒá
áºáááºá áá»ááºáááºááŸá¬á
ááºážáááºááŸá¯áá»á¬ážáá¯ááºáá±á¬ááºáááºááŸáá·áº FreeRADIUS ááœá²á·á
ááºážááŸá¯ááá¯ááºááá¯á·áá»áœááºá¯ááºááá¯á·á VPN gateway ááŸáá·áºáááºáááºáá±á¬á¡áá»ááºá¡áááºáá»á¬ážááá·áºáááºááŒá
áºáááºá
áá»áœááºá¯ááºááá¯á·ááẠáá¬áá¬ááœááºááá¯ážááºá áááºážááœáŸááºááá¯á· ááŒááºááœá¬ážááŒáááºá /usr/local/bin/multiotp/, enter :
./multiotp.php -config debug=1
./multiotp.php -config display-log=1
á¡áá±ážá ááẠááŸááºáááºážáááºááŒááºáž á¡áá«á¡áááºá
FreeRADIUS clients configuration file ááœáẠ(/etc/freeradius/clinets.conf) ááŸáá·áº áááºááá¯ááºáá±á¬ á á¬ááŒá±á¬ááºážáá»á¬ážá¡á¬ážáá¯á¶ážááᯠcomment áá±ážáá«á localhost ááŸáá·áº entry ááŸá áºáá¯ááá·áºáá«-
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}
- á á¬áá±ážááœá²á¡ááœááº
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}
- áá»áœááºá¯ááºááá¯á·á VPN áá¶áá«ážáá±á«ááºá¡ááœááºá
FreeRADIUS ááᯠááŒááºáááºá áááºááŒá®áž á¡áá±á¬áá·áºáááºááẠááŒáá¯ážá á¬ážáá«-
radtest username 100110 localhost 1812 testing321
áááºááŸá¬ á¡áá¯á¶ážááŒá¯áá°á¡ááẠ= á¡áá¯á¶ážááŒá¯áá°á¡áááºá 100110 = áá¯ááºážáá±á«áºááŸá á¡ááá®áá±ážááŸááºážááŒáá·áº áá»áœááºá¯ááºááá¯á·á¡á¬áž áá±ážáá¬ážáá±á¬ á áá¬ážááŸááºá localhost = RADIUS áá¬áá¬ááááºá á¬á 1812 â RADIUS áá¬áá¬ááááºáááºážá testing321 â RADIUS áá¬áá¬áá±á¬ááºáááºá áá¬ážááŸáẠ(config ááœááºáá»áœááºá¯ááºááá¯á·áááºááŸááºáá¬ážáá±á¬)á
ဠcommand áááááºáááºá¡á±á¬ááºáá«á¡ááá¯ááºážááá·áºááŸááºážááŒá±á¡á¬ážááŒáá·áº output ááŒá áºáááá·áºáááºá
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20
ááᯠáá»áœááºá¯ááºááá¯á·ááẠá¡áá¯á¶ážááŒá¯áá°á¡á¬áž á¡á±á¬ááºá¡á±á¬ááºááŒááºááŒáẠá á áºááŸááºááŒá±á¬ááºážáá±áá»á¬á á±ááẠááá¯á¡ááºáá«áááºá áá«ááá¯áá¯ááºááá¯á·á multiotp áá°á·áá¬áá°áá²á· ááŸááºáááºážááᯠááŒáá·áºáá«áááºá
tail /var/log/multiotp/multiotp.log
á¡áááºá áá±á¬ááºáá¯á¶ážáááºáá±á¬ááºááŸá¯ááŸá¬-
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1
á¡á²áá®á¡áá«ááŸá¬ á¡á¬ážáá¯á¶ážá¡áááºááŒá±ááœá¬ážááŒá®áž áá»áœááºáá±á¬áºááá¯á· ááŒá®ážááŒá±á¬ááºááá¯ááºáá«áááºá
á¡ááá·áº 5- Cisco ASA ááᯠá
á®á
ááºáááºááŸááºáá«á
áá»áœááºá¯ááºááá¯á·ááœáẠSLL VPN ááŸáá
áºááá·áº áááºáá±á¬ááºá¡áá¯á¶ážááŒá¯ááá¯ááºááẠá
á®á
ááºáááºááŸááºáá¬ážáá±á¬ á¡ááœá²á·ááŸáá·áº áá°áá«ááá»á¬ážááŸáááŒá®ážá Active Directory ááŸáá·áº ááœá²áááºá ááŒááºáááºáááºááŸááºáá¬ážááŒá®ážá á€áááá¯ááá¯ááºá¡ááœáẠá¡áá»ááºááŸá
áºáá»áẠá¡áá±á¬ááºá¡áá¬ážá
áá
á
áºááŒááºážááᯠááá·áºááœááºážááẠááá¯á¡ááºáá«áááºá
1. AAA áá¬áá¬á¡ááœá²á·á¡áá áºááᯠááá·áºáá«-
2. áá»áœááºá¯ááºááá¯á·á multiOTP áá¬áá¬ááᯠá¡ááœá²á·áá²ááá¯á· ááá·áºáá«-
3. áá»áœááºáá±á¬áºááá¯á· áááºážááŒááºáááºá áá»áááºáááºááŸá¯áááá¯ááá¯ááºActive Directory áá¬áá¬á¡á¯ááºá
á¯ááᯠáááºáá¡áá±á¬ááºá¡áá¬ážá
áá
á
áºááŒááºážáá¬áá¬á¡ááŒá
ẠáááºááŸááºááŒááºáž-
4. tab ááŸá¬ Advanced -> Authentication áá»áœááºá¯ááºááá¯á·ááẠActive Directory áá¬áá¬á¡ááœá²á·ááá¯áááºáž ááœá±ážáá»ááºáááº-
5. tab ááŸá¬ á¡ááá·áºááŒáá·áº -> á¡áááºáááºáž á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá multiOTP áá¬áá¬ááŸááºáá¯á¶áááºáá¬ážááá·áº áááºáá®ážáá¬ážáá±á¬ áá¬áá¬á¡á¯ááºá
á¯ááᯠááœá±ážáá»ááºáá«á Session á¡áá¯á¶ážááŒá¯áá°á¡áááºááᯠá¡ááá AAA áá¬áá¬á¡á¯ááºá
á¯á០á¡ááœá±áááºáá¶ááŒá±á¬ááºáž áááááŒá¯áá«-
áááºáááºáá»á¬ážááŸáá·áº á¡áá¯á¶ážáá»áá«á
á¡ááá·áº 6á áá±á¬ááºáá¯á¶ážáá
áºáá¯
SLL VPN á¡ááœáẠtwo-factor authentication á¡áá¯ááºáá¯ááºááá¬áž á
á
áºáá±ážááŒáá·áºáá¡á±á¬ááºá
áá² áá«ááá¯áááºáá±á¬á·! Cisco AnyConnect VPN Client ááŸáá
áºááá·áº áá»áááºáááºááá·áºá¡áá«ááœááºá áááºááẠáá
áºá
áá¹ááá·áºá áá
áºááŒááẠá
áá¬ážááŸááºáá
áºáᯠáá±á¬ááºážááá¯áááºááŒá
áºáááºá
á€áá±á¬ááºážáá«ážááẠáá
áºá
á¯á¶áá
áºáŠážááᯠá¡áá±á¬ááºá¡áá°ááŒá
áºá
á±áááºáᯠáá»áŸá±á¬áºááá·áºáá«áááºá áááºážááẠáá
áºá
á¯á¶áá
áºáŠážááᯠáááºááá¯á·á¡áá¯á¶ážááŒá¯ááááºááᯠááœá±ážáá±á«áºááá¯ááºá
á±áááºá¡ááœáẠá¡áá±á¬ááºá¡áá°ááŒá
áºá
á±áááºáᯠáá»áŸá±á¬áºááá·áºáá«áááºá á¡ááá²á· á¡ááŒá¬ážáá¯ááºáá±á¬ááºá
áá¬áá»á¬ážá¡ááœáẠOTP áá¬áá¬á ááá¹áááŸáááẠcomment ááŸá¬ áá»áŸáá±áá±ážáá«á
source: www.habr.com