🥇LinOTP two-factor authentication server

ယနေ့ ကျွန်ုပ်သည် ကော်ပိုရိတ်ကွန်ရက်၊ ဆိုက်များ၊ ဝန်ဆောင်မှုများ၊ ssh ကို ကာကွယ်ရန်အတွက် two-factor authentication server ကို မည်သို့တပ်ဆင်ရမည်ကို မျှဝေလိုပါသည်။ ဆာဗာသည် အောက်ပါပေါင်းစပ်မှုကို လုပ်ဆောင်ပါမည်- LinOTP + FreeRadius။

ဘာကြောင့် လိုအပ်တာလဲ။
၎င်းသည် ပြင်ပကုမ္ပဏီပေးသူများနှင့် သီးခြားကင်းသော ၎င်း၏ကိုယ်ပိုင်ကွန်ရက်အတွင်း လုံးဝအခမဲ့၊ အဆင်ပြေသည့်ဖြေရှင်းချက်ဖြစ်သည်။

ဤဝန်ဆောင်မှုသည် အခြား open source ထုတ်ကုန်များနှင့်မတူဘဲ အလွန်အဆင်ပြေပြီး အမြင်အာရုံကောင်းမွန်ပြီး လုပ်ငန်းဆောင်တာများနှင့် မူဝါဒအများအပြားကိုလည်း ပံ့ပိုးပေးသည် (ဥပမာ၊ login+password+(PIN+OTPToken))။ API မှတဆင့်၊ ၎င်းသည် sms ပေးပို့ခြင်းဝန်ဆောင်မှုများ (LinOTP Config->Provider Config->SMS ဝန်ဆောင်မှုပေးသူ)၊ Google Authentificator ကဲ့သို့သော မိုဘိုင်းအပလီကေးရှင်းများအတွက် ကုဒ်များထုတ်ပေးသည်နှင့် အခြားအရာများစွာကို ပေါင်းစပ်ပေးပါသည်။ ဆွေးနွေးထားတဲ့ ဝန်ဆောင်မှုထက် ပိုအဆင်ပြေမယ်ထင်တယ်။ ဆောင်းပါး.

ဤဆာဗာသည် Cisco ASA၊ OpenVPN ဆာဗာ၊ Apache2 နှင့် ယေဘုယျအားဖြင့် RADIUS ဆာဗာမှတစ်ဆင့် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ပံ့ပိုးပေးသည့်အရာအားလုံးနီးပါး (ဥပမာ၊ ဒေတာစင်တာရှိ SSH အတွက်)။

လိုအပ်သည်:

1) Debian 8 (jessie) - သေချာပေါက်! (debian 9 တွင် စမ်းသပ်တပ်ဆင်မှုကို ဆောင်းပါး၏အဆုံးတွင် ဖော်ပြထားပါသည်။)

Start:

Debian 8 ကို ထည့်သွင်းခြင်း။

LinOTP repository ကိုထည့်ပါ-

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

သော့များထည့်ခြင်း-

# gpg --search-keys 913DFF12F86258E5

တခါတရံ "သန့်ရှင်း" တပ်ဆင်မှုအတွင်း၊ ဤအမိန့်ကိုအသုံးပြုပြီးနောက်၊ Debian သည်-

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

ဤသည်မှာ ကနဦး gnupg စနစ်ထည့်သွင်းမှုဖြစ်သည်။ ရပါတယ်။ command ကို ပြန်ပြီး run လိုက်ပါ။
Debian ၏မေးခွန်းအတွက်

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

ကျွန်ုပ်တို့ အဖြေ: ၁

နောက်တစ်ခု:

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

mysql ကို install လုပ်ပါ။ သီအိုရီအရ၊ သင်သည် အခြားသော sql ဆာဗာကို သုံးနိုင်သော်လည်း ရိုးရှင်းရန်အတွက် LinOTP အတွက် အကြံပြုထားသည့်အတိုင်း ၎င်းကို ကျွန်ုပ်အသုံးပြုပါမည်။

(LinOTP ဒေတာဘေ့စ်ကို ပြန်လည်ပြင်ဆင်ခြင်းအပါအဝင် အပိုအချက်အလက်များကို တရားဝင်စာရွက်စာတမ်းများတွင် တွေ့ရှိနိုင်ပါသည်။ link ကို. ၎င်းတွင် mysql ကိုထည့်သွင်းပြီးပါက parameters များကိုပြောင်းလဲရန် dpkg-reconfigure linotp ကိုသင်တွေ့နိုင်သည်။

# apt-get install mysql-server

# apt-get update

(အပ်ဒိတ်များကို ထပ်မံစစ်ဆေးရန် မထိခိုက်ပါ)
LinOTP နှင့် နောက်ထပ် module များကို ထည့်သွင်းပါ-

# apt-get install linotp

ကျွန်ုပ်တို့သည် ထည့်သွင်းသူ၏မေးခွန်းများကို ဖြေသည်-
Apache2 ကိုသုံးပါ။
စီမံခန့်ခွဲသူ Linotp အတွက် စကားဝှက်တစ်ခု ဖန်တီးပါ- "သင်၏ စကားဝှက်"
ကိုယ်တိုင်ရေးထိုးထားသော လက်မှတ်ကို ထုတ်မလား။
MySQL ကို သုံးသလား
ဒေတာဘေ့စ်ဘယ်မှာတည်ရှိသည် - localhost
ဆာဗာပေါ်တွင် LinOTP ဒေတာဘေ့စ် (အခြေခံအမည်) ဖန်တီးပါ- LinOTP2
ဒေတာဘေ့စ်အတွက် သီးခြားအသုံးပြုသူ ဖန်တီးပါ- LinOTP2
ကျွန်ုပ်တို့သည် အသုံးပြုသူအတွက် စကားဝှက်တစ်ခုသတ်မှတ်ထားပါသည်- "သင်၏စကားဝှက်"
ဒေတာဘေ့စ်တစ်ခုကို အခုပဲ ဖန်တီးသင့်လား။ (“မင်းလိုချင်တာသေချာလား…” လိုမျိုး)) ဟုတ်ကဲ့
၎င်းကိုထည့်သွင်းရာတွင် သင်ဖန်တီးခဲ့သည့် MySQL root စကားဝှက်ကို ထည့်သွင်းပါ- "YourPassword"
Done ။

(ရွေးချယ်နိုင်သည်၊ ၎င်းကိုသင်ထည့်သွင်းရန်မလိုအပ်ပါ။)

# apt-get install linotp-adminclient-cli

(ရွေးချယ်နိုင်သည်၊ ၎င်းကိုသင်ထည့်သွင်းရန်မလိုအပ်ပါ။)

# apt-get install libpam-linotp

ထို့ကြောင့် ကျွန်ုပ်တို့၏ Linotp ဝဘ်အင်တာဖေ့စ်ကို ယခုရရှိနိုင်ပါပြီ-

"<b>https</b>: //IP_сервера/manage"

ဝဘ်အင်တာဖေ့စ်ရှိ ဆက်တင်များအကြောင်း နောက်မှပြောပါမည်။

အခု အရေးကြီးဆုံးအရာ။ ကျွန်ုပ်တို့သည် FreeRadius ကိုမြှင့်တင်ပြီး ၎င်းကို Linotp နှင့်ချိတ်ဆက်ပါ။

LinOTP နှင့်အလုပ်လုပ်ရန်အတွက် FreeRadius နှင့် module ကိုထည့်သွင်းပါ။

# apt-get install freeradius linotp-freeradius-perl

ကလိုင်းယင့်ကို မိတ္တူကူးပြီး အသုံးပြုသူများ၏ အချင်းဝက် သတ်မှတ်ချက်များ။

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

အချည်းနှီးသော ကလိုင်းယင့်ဖိုင်တစ်ခု ဖန်တီးပါ-

# touch /etc/freeradius/clients.conf

ကျွန်ုပ်တို့၏ config ဖိုင်အသစ်ကို တည်းဖြတ်ခြင်း (အရန်သိမ်းထားသော config ကို နမူနာအဖြစ် သုံးနိုင်သည်)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

ထို့နောက် အသုံးပြုသူဖိုင်ကို ဖန်တီးပါ-

# touch /etc/freeradius/users

ကျွန်ုပ်တို့သည် ဖိုင်ကို တည်းဖြတ်ပြီး စစ်မှန်ကြောင်းအထောက်အထားအတွက် perl ကိုသုံးမည်ဖြစ်ကြောင်း အချင်းဝက်ကိုပြောပြသည်။

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

ထို့နောက် /etc/freeradius/modules/perl ဖိုင်ကို တည်းဖြတ်ပါ။

# nano /etc/freeradius/modules/perl

module parameter တွင် perl linotp script သို့လမ်းကြောင်းကိုသတ်မှတ်ရန်လိုအပ်သည်-

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

… ..
ထို့နောက်၊ ကျွန်ုပ်တို့သည် မည်သည့် (ဒိုမိန်း၊ ဒေတာဘေ့စ် သို့မဟုတ် ဖိုင်) မှ ဒေတာကို ယူရန်ပြောသည့် ဖိုင်တစ်ခုကို ဖန်တီးသည်။

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

အရေးကြီးသောကြောင့် ဤနေရာတွင် အနည်းငယ်အသေးစိတ်ပြောပြပါမည်။

မှတ်ချက်များနှင့်အတူ ဖိုင်၏ဖော်ပြချက်အပြည့်အစုံ-
linOTP ဆာဗာ၏ #IP (ကျွန်ုပ်တို့၏ LinOTP ဆာဗာ၏ IP လိပ်စာ)
URL=https://172.17.14.103/validate/simplecheck
LinOTP ဝဘ်အင်တာဖေ့စ်တွင် ကျွန်ုပ်တို့ဖန်တီးမည့် ကျွန်ုပ်တို့၏ဧရိယာ။)
REALM=rearm1
LinOTP ဝဘ် muzzle တွင်ဖန်တီးထားသော # အသုံးပြုသူအုပ်စုအမည်။
RESCONF=flat_file
#ချန်လှပ်ထားနိုင်သည်- အရာအားလုံး အဆင်ပြေနေပါက မှတ်ချက်ပေးပါ။
အမှားအယွင်း=အမှန်
#ချန်လှပ်ထားနိုင်သည်- ဤအရာကို အသုံးပြုပါ၊ သင့်တွင် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်များရှိပါက၊ မဟုတ်ပါက မှတ်ချက်ထုတ်ပါ (ကျွန်ုပ်တို့၏ကိုယ်ပိုင်လက်မှတ်ကို ဖန်တီးပြီး အတည်ပြုလိုပါက SSL၊
SSL_CHECK=မှားသည်။

ထို့နောက် /etc/freeradius/sites-available/linotp ဖိုင်ကိုဖန်တီးပါ။

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

ပြီးလျှင် config ကို ၎င်းထဲသို့ ကူးယူပါ (ဘာမှ တည်းဖြတ်ရန် မလိုအပ်ပါ)။

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

ထို့နောက် ကျွန်ုပ်တို့သည် SIM လင့်ခ်တစ်ခုကို ဖန်တီးပါမည်-

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

ကိုယ်တိုင်ကိုယ်ကျ၊ ကျွန်ုပ်သည် မူရင်း Radius ဆိုက်များကို သတ်ပစ်သည်၊ သို့သော် ၎င်းတို့ကို လိုအပ်ပါက၊ သင်သည် ၎င်းတို့၏ config ကို တည်းဖြတ်နိုင်သည် သို့မဟုတ် ၎င်းတို့ကို ပိတ်နိုင်သည်။

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

ယခု ဝဘ်မျက်နှာသို့ ပြန်၍ အနည်းငယ်အသေးစိတ်ကြည့်ကြပါစို့။
အပေါ်ညာဘက်ထောင့်တွင် LinOTP Config -> UserIdResolvers -> New ကိုနှိပ်ပါ။
ကျွန်ုပ်တို့ လိုချင်သောအရာကို ရွေးချယ်သည်- LDAP (AD အနိုင်ရခြင်း၊ LDAP samba) သို့မဟုတ် SQL သို့မဟုတ် Flatfile စနစ်၏ ဒေသခံအသုံးပြုသူများ။

လိုအပ်သောအကွက်များကိုဖြည့်ပါ။

နောက်တစ်ခု ကျွန်ုပ်တို့သည် REALMS ကို ဖန်တီးသည်-
ညာဘက်အပေါ်ထောင့်တွင် LinOTP Config -> Realms -> New ကိုနှိပ်ပါ။
ကျွန်ုပ်တို့၏ REALMS အား အမည်တစ်ခုပေးကာ ယခင်ဖန်တီးထားသော UserIdResolvers ကိုလည်း နှိပ်ပါ။

FreeRadius သည် အထက်တွင်ရေးခဲ့သည့်အတိုင်း /etc/linotp2/rlm_perl.ini ဖိုင်တွင် ဤဒေတာအားလုံးကို လိုအပ်သည်၊ ထို့ကြောင့် ၎င်းကို မတည်းဖြတ်ပါက ယခုပြုလုပ်ပါ။

ဆာဗာကို အားလုံးပြင်ဆင်ပြီးပါပြီ။

ဖြည့်စွက်:

Debian 9 တွင် LinOTP ကို စနစ်ထည့်သွင်းခြင်း။:

setting:

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(ပုံမှန်အားဖြင့်၊ Debian 9 mysql (mariaDB) တွင် root စကားဝှက်ကိုသတ်မှတ်ရန်ကမ်းလှမ်းခြင်းမရှိပါ၊ သေချာသည်မှာ၎င်းကိုဗလာထားထားနိုင်သည်၊ သို့သော်သတင်းကိုသင်ဖတ်ပါက၊ ၎င်းသည်မကြာခဏ "epic fails" ကိုဖြစ်ပေါ်စေသည်၊ ထို့ကြောင့်ကျွန်ုပ်တို့၎င်းကိုသတ်မှတ်မည်ဖြစ်သည်။ ဘာပဲဖြစ်ဖြစ်)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

ကုဒ်ကိုကူးထည့်ပါ (JuriM ပေးပို့သော၊ ၎င်းအတွက် ကျေးဇူးတင်ရှိပါသည်)။

ဆာဗာ linotp {
နားထောင်ပါ {
ipaddr = *
ဆိပ်ကမ်း = 1812
type=auth
}
နားထောင်ပါ {
ipaddr = *
ဆိပ်ကမ်း = 1813
type=acct
}
လုပ်ပိုင်ခွင့် {
လုပ်ငန်းစဉ်
အပ်ဒိတ် {
&control:Auth-Type := Perl
}
}
စစ်မှန်ကြောင်း {
အထောက်အထား-အမျိုးအစား Perl {
ပုလဲ
}
}
စာရင်းကိုင် {
Unix
}
}

/etc/freeradius/3.0/mods-enabled/perl ကိုတည်းဖြတ်ပါ။

perl {
ဖိုင်အမည် = /usr/share/linotp/radius_linotp.pm
func_authenticate = စစ်မှန်ကြောင်းသက်သေပြသည်။
func_authorize = လုပ်ပိုင်ခွင့်
}

ကံမကောင်းစွာဖြင့်၊ Debian 9 တွင် radius_linotp.pm စာကြည့်တိုက်ကို repositories မှ ထည့်သွင်းမထားသောကြောင့် ၎င်းကို github မှ ယူပါမည်။

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

ယခု /etc/freeradius/3.0/clients.conf ကို တည်းဖြတ်ကြပါစို့

client servers {
ipaddr = 192.168.188.0/24
လျှို့ဝှက် = သင့်စကားဝှက်
}

အခု nano /etc/linotp2/rlm_perl.ini ကိုပြင်ကြည့်ရအောင်

debian 8 (အထက်တွင်ဖော်ပြထားသည်) ကို install လုပ်သောအခါကဲ့သို့တူညီသောကုဒ်ကိုကူးထည့်ပါ။

ဒါပဲ အကြံဥာဏ်အရ။ (မစမ်းသပ်ရသေးပါ)

အများစုမှာ two-factor authentication ဖြင့် ကာကွယ်ထားရန် လိုအပ်သော စနစ်များထည့်သွင်းခြင်းအတွက် လင့်ခ်အချို့ကို အောက်တွင်ချန်ထားခဲ့ပါမည်။
two-factor authentication in ကို စနစ်ထည့်သွင်းခြင်း။ Apache2

Cisco ASA ဖြင့် စနစ်ထည့်သွင်းပါ။(ကွဲပြားသော တိုကင်မျိုးဆက်ဆာဗာကို ထိုနေရာတွင် အသုံးပြုသော်လည်း ASA ၏ ဆက်တင်များသည် အတူတူပင်ဖြစ်သည်)။

two-factor authentication ဖြင့် VPN

သင့်အောင်လုပ်ခြင်း ssh တွင် အချက်နှစ်ချက် စစ်မှန်ကြောင်း အတည်ပြုခြင်း။ (LinOTP ကိုလည်း အဲဒီနေရာမှာ သုံးပါတယ်) - စာရေးသူကို ကျေးဇူးတင်ပါတယ်။ ထိုနေရာတွင် LiOTP မူဝါဒများသတ်မှတ်ခြင်းနှင့်ပတ်သက်ပြီး စိတ်ဝင်စားစရာကောင်းသောအရာများကို သင်တွေ့နိုင်သည်။

ထို့အပြင်၊ ဆိုဒ်အများအပြား၏ cms သည် two-factor authentication ကို ပံ့ပိုးပေးသည် ( WordPress အတွက်၊ LinOTP သည် ၎င်း၏ကိုယ်ပိုင် အထူး module တစ်ခုပင် ရှိသည်။ githubဥပမာအားဖြင့်၊ သင်သည် ကုမ္ပဏီဝန်ထမ်းများအတွက် သင်၏ကော်ပိုရိတ်ဝဘ်ဆိုဒ်တွင် အကာအကွယ်ပေးထားသောအပိုင်းကို ပြုလုပ်လိုပါက။
အရေးကြီးသောအချက်။ Google Authenticator ကိုအသုံးပြုရန် "Google autenteficator" အကွက်ကို မစစ်ဆေးပါနှင့်။ QR ကုဒ်ကို ဖတ်လို့ မရနိုင်တော့ဘူး... (ထူးဆန်းတဲ့အချက်)

ဤဆောင်းပါးကိုရေးသားရန်၊ အောက်ပါဆောင်းပါးများမှ အချက်အလက်များကို အသုံးပြုခဲ့သည်-
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

စာရေးဆရာများကို ကျေးဇူးတင်ပါသည်။

source: www.habr.com

LinOTP two-factor authentication server

မှတ်ချက် Add ပြန်ကြားချက်ကိုပယ်ဖျက်

မှတ်ချက် Add