рдХреЗ рд╣реБрдиреНрдЫ рдпрджрд┐ рджреБрдИ-рдХрд╛рд░рдХ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рджреБрд╡реИ рд╡рд╛рдВрдЫрдиреАрдп рд░ рдХрд╛рдБрдЯреЗрджрд╛рд░ рдЫ, рддрд░ рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рдЯреЛрдХрдирд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдкреИрд╕рд╛ рдЫреИрди рд░ рд╕рд╛рдорд╛рдиреНрдпрддрдпрд╛ рддрд┐рдиреАрд╣рд░реВ рд░рд╛рдореНрд░реЛ рдореБрдбрдорд╛ рд░рд╣рди рдкреНрд░рд╕реНрддрд╛рд╡ рдЧрд░реНрдЫрдиреНред
рдпреЛ рд╕рдорд╛рдзрд╛рди рдХреЗрд╣рд┐ рд╕реБрдкрд░ рдореМрд▓рд┐рдХ рд╣реЛрдЗрди, рддрд░ рдЗрдиреНрдЯрд░рдиреЗрдЯрдорд╛ рдкрд╛рдЗрдиреЗ рд╡рд┐рднрд┐рдиреНрди рд╕рдорд╛рдзрд╛рдирд╣рд░реВрдХреЛ рдорд┐рд╢реНрд░рдг рд╣реЛред
рддреНрдпрд╕реИрд▓реЗ рджрд┐рдП
╨Ф╨╛╨╝╨╡╨╜ рд╕рдХреНрд░рд┐рдп рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛.
VPN рдорд╛рд░реНрдлрдд рдХрд╛рдо рдЧрд░реНрдиреЗ рдбреЛрдореЗрди рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВ, рдЬрд╕реНрддреИ рдЖрдЬ рдзреЗрд░реИред
VPN рдЧреЗрдЯрд╡реЗрдХреЛ рд░реВрдкрдорд╛ рдХрд╛рд░реНрдп рдЧрд░реНрджрдЫ рдлреЛрд░реНрдЯрд┐рдЧреЗрдЯ.
VPN рдХреНрд▓рд╛рдЗрдиреНрдЯрдХреЛ рд▓рд╛рдЧрд┐ рдкрд╛рд╕рд╡рд░реНрдб рд╕реБрд░рдХреНрд╖рд┐рдд рдЧрд░реНрди рд╕реБрд░рдХреНрд╖рд╛ рдиреАрддрд┐рджреНрд╡рд╛рд░рд╛ рдирд┐рд╖реЗрдз рдЧрд░рд┐рдПрдХреЛ рдЫред
рд░рд╛рдЬрдиреАрддрд┐ Fortinet рддрдкрд╛рдИрдВрдХреЛ рдЖрдлреНрдиреИ рдЯреЛрдХрдирд╣рд░реВрдХреЛ рд╕рдиреНрджрд░реНрднрдорд╛, рддрдкрд╛рдИрдВрд▓реЗ рдпрд╕рд▓рд╛рдИ zhlob рднрдиреНрджрд╛ рдХрдо рднрдиреНрди рд╕рдХреНрдиреБрд╣реБрдиреНрди - рддреНрдпрд╣рд╛рдБ 10 рднрдиреНрджрд╛ рдмрдвреА рдирд┐рдГрд╢реБрд▓реНрдХ рдЯреЛрдХрдирд╣рд░реВ рдЫрдиреН, рдмрд╛рдБрдХреА - рдзреЗрд░реИ рдЧреИрд░-рдХреЛрд╢рд░ рдореВрд▓реНрдпрдорд╛ред рдореИрд▓реЗ RSASecureID, Duo рд░ рдЬрд╕реНрддреИ рд╡рд┐рдЪрд╛рд░ рдЧрд░реЗрди, рдХрд┐рдирдХрд┐ рдо рдЦреБрд▓рд╛ рд╕реНрд░реЛрдд рдЪрд╛рд╣рдиреНрдЫреБред
рдкреВрд░реНрд╡ рд╢рд░реНрддрд╣рд░реВ: рд╣реЛрд╕реНрдЯ * nix рд╕реНрдерд╛рдкрд┐рдд рд╕рдВрдЧ freeradius, ssd - рдбреЛрдореЗрдирдорд╛ рдкреНрд░рд╡реЗрд╢ рдЧрд░реЗрдкрдЫрд┐, рдбреЛрдореЗрди рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ рдпрд╕рд▓рд╛рдИ рд╕рдЬрд┐рд▓реИрд╕рдБрдЧ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдЧрд░реНрди рд╕рдХреНрдЫрдиреНред
рдердк рдкреНрдпрд╛рдХреЗрдЬрд╣рд░реВ: рд╢реЗрд▓рд┐рдирд╛ рдмрдХреНрд╕, рдлреНрдпрд╛рдЧрд▓реЗрдЯ, freeradius-ldap, рдлрдиреНрдЯ rebel.tlf рднрдгреНрдбрд╛рд░рдмрд╛рдЯ .
рдореЗрд░реЛ рдЙрджрд╛рд╣рд░рдгрдорд╛ - CentOS 7.8ред
рдХрд╛рдордХреЛ рддрд░реНрдХ рдирд┐рдореНрдирд╛рдиреБрд╕рд╛рд░ рд╣реБрдиреБрдкрд░реНрдЫ: VPN рдорд╛ рдЬрдбрд╛рди рдЧрд░реНрджрд╛, рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ рдкрд╛рд╕рд╡рд░реНрдбрдХреЛ рд╕рдЯреНрдЯрд╛ рдбреЛрдореЗрди рд▓рдЧрдЗрди рд░ OTP рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрдиреБрдкрд░реНрдЫред
рд╕реЗрд╡рд╛рд╣рд░реВ рд╕реЗрдЯрдЕрдк
╨Т /etc/raddb/radiusd.conf рдХреЗрд╡рд▓ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рд░ рд╕рдореВрд╣ рдХреЛ рддрд░реНрдлрдмрд╛рдЯ рд╕реБрд░реБ рд╣реБрдиреНрдЫ freeradius, рд╕реЗрд╡рд╛ рджреЗрдЦрд┐ рддреНрд░рд┐рдЬреНрдпрд╛ рд╕рдмреИ рдЙрдкрдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рд╣рд░реВрдорд╛ рдлрд╛рдЗрд▓рд╣рд░реВ рдкрдвреНрди рд╕рдХреНрд╖рдо рд╣реБрдиреБрдкрд░реНрдЫ / рдШрд░ /.
user = root
group = root
рд╕реЗрдЯрд┐рдЩрд╣рд░реВрдорд╛ рд╕рдореВрд╣рд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрди рд╕рдХреНрд╖рдо рд╣реБрди рдлреЛрд░реНрдЯрд┐рдЧреЗрдЯ, рдкреНрд░рд╕рд╛рд░рд┐рдд рд╣реБрдиреБрдкрд░реНрдЫ рд╡рд┐рдХреНрд░реЗрддрд╛ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╡рд┐рд╢реЗрд╖рддрд╛ред рдпреЛ рдЧрд░реНрди, рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдорд╛ raddb/policy.d рдо рдирд┐рдореНрди рд╕рд╛рдордЧреНрд░реАрдХреЛ рд╕рд╛рде рдлрд╛рдЗрд▓ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдЫреБ:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
рд╕реНрдерд╛рдкрдирд╛ рдкрдЫрд┐ freeradius-ldap рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдорд╛ raddb/mods-рдЙрдкрд▓рдмреНрдз рдлрд╛рдЗрд▓ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░рд┐рдПрдХреЛ рдЫ ldap.
рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрдорд╛ рдкреНрд░рддреАрдХрд╛рддреНрдордХ рд▓рд┐рдЩреНрдХ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫ raddb/mods-рд╕рдХреНрд╖рдо.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapрдо рдпрд╕рдХреЛ рд╕рд╛рдордЧреНрд░реА рдпрд╕ рдлрд╛рд░рдордорд╛ рд▓реНрдпрд╛рдЙрдБрдЫреБ:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
рдлрд╛рдЗрд▓рд╣рд░реВрдорд╛ raddb/sites-enabled/default ╨╕ raddb/sites-enabled/inner-tunnel рдЦрдгреНрдбрдорд╛ рдЕрдзрд┐рдХрд╛рд░ рджрд┐рдиреБрд╣реЛрд╕реН рдо рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреЗ рдиреАрддрд┐рдХреЛ рдирд╛рдо рдердкреНрдЫреБ - group_authorizationред рдПрдЙрдЯрд╛ рдорд╣рддреНрддреНрд╡рдкреВрд░реНрдг рдмрд┐рдиреНрджреБ - рдиреАрддрд┐рдХреЛ рдирд╛рдо рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрдорд╛ рд░рд╣реЗрдХреЛ рдлрд╛рдЗрд▓рдХреЛ рдирд╛рдорд▓реЗ рдирд┐рд░реНрдзрд╛рд░рдг рдЧрд░реНрджреИрди рдиреАрддрд┐, рддрд░ рдШреБрдорд╛рдЙрд░реЛ рдХреЛрд╖реНрдардХрд╣рд░реВ рдЕрдШрд┐ рдлрд╛рдЗрд▓ рднрд┐рддреНрд░рдХреЛ рдирд┐рд░реНрджреЗрд╢рдирджреНрд╡рд╛рд░рд╛ред
рдЦрдгреНрдбрдорд╛ рдкреНрд░рдорд╛рдгрд┐рдд рдЧрд░реНрдиреБрд╣реЛрд╕реН рдЙрд╣реА рдлрд╛рдЗрд▓рд╣рд░реВрдорд╛ рддрдкрд╛рдИрдВрд▓реЗ рд▓рд╛рдЗрдирд▓рд╛рдИ рдЕрдирдХрдореЗрдиреНрдЯ рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫ рдкрд╛рдо.
рдлрд╛рдЗрд▓рдорд╛ clients.conf рдкреНрдпрд╛рд░рд╛рдорд┐рдЯрд░рд╣рд░реВ рд▓реЗрдЦреНрдиреБрд╣реЛрд╕реН рдЬрд╕рд╕рдБрдЧ рдпреЛ рдЬрдбрд╛рди рд╣реБрдиреЗрдЫ рдлреЛрд░реНрдЯрд┐рдЧреЗрдЯ:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
рдореЛрдбреНрдпреБрд▓ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдмрдиреНрдбрд▓ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рд╡рд┐рдХрд▓реНрдкрд╣рд░реВ freeradius ╤Б рдЧреБрдЧрд▓ рдкреНрд░рдорд╛рдгрд┐рдХрд░реНрддрд╛ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓рд╛рдИ рдврд╛рдБрдЪрд╛рдорд╛ рдкреНрд░рдорд╛рдгрд╣рд░реВ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫ: рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдкрд╛рд╕рд╡рд░реНрдб+рдУрдЯреАрдкреА.
рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдмрдиреНрдбрд▓ рдкреНрд░рдпреЛрдЧрдХреЛ рдЕрд╡рд╕реНрдерд╛рдорд╛, рдЯрд╛рдЙрдХреЛрдорд╛ рдЦрд╕реНрдиреЗ рд╢реНрд░рд╛рдкрд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛ рдХрд▓реНрдкрдирд╛ рдЧрд░реЗрд░ freeradius ╤Б Google рдкреНрд░рдорд╛рдгрдХ, рдпреЛ рдореЛрдбреНрдпреБрд▓ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдирд┐рд░реНрдгрдп рдЧрд░рд┐рдпреЛ рдкрд╛рдо рддрд╛рдХрд┐ рдЯреЛрдХрди рдорд╛рддреНрд░ рдЬрд╛рдБрдЪ рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫ Google рдкреНрд░рдорд╛рдгрдХ.
рдЬрдм рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдЬрдбрд╛рди рд╣реБрдиреНрдЫ, рдирд┐рдореНрди рд╣реБрдиреНрдЫ:
- Freeradius рд▓реЗ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдбреЛрдореЗрди рд░ рдирд┐рд╢реНрдЪрд┐рдд рд╕рдореВрд╣рдорд╛ рдЫ рдХрд┐ рдЫреИрди рднрдиреЗрд░ рдЬрд╛рдБрдЪ рдЧрд░реНрджрдЫ рд░ рдпрджрд┐ рд╕рдлрд▓ рднрдПрдорд╛ OTP рдЯреЛрдХрди рдЬрд╛рдБрдЪ рдЧрд░реНрджрдЫред
рдореИрд▓реЗ "рейрежреж+ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрдХрд╛ рд▓рд╛рдЧрд┐ OTP рдХрд╕рд░реА рджрд░реНрддрд╛ рдЧрд░реНрди рд╕рдХреНрдЫреБ?" рд╕реЛрдЪреЗрд╕рдореНрдо рд╕рдмреИ рдХреБрд░рд╛ рд░рд╛рдореНрд░реЛ рджреЗрдЦрд┐рдиреНрдереНрдпреЛред
рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ рд╕рд░реНрднрд░рдорд╛ рд▓рдЧрдЗрди рдЧрд░реНрдиреБрдкрд░реНрдЫ freeradius рд░ рдЖрдлреНрдиреЛ рдЦрд╛рддрд╛ рдЕрдиреНрддрд░реНрдЧрдд рд░ рдЕрдиреБрдкреНрд░рдпреЛрдЧ рдЪрд▓рд╛рдЙрдиреБрд╣реЛрд╕реН рдЧреБрдЧрд▓ рдкреНрд░рдорд╛рдгрд┐рдХрд░реНрддрд╛, рдЬрд╕рд▓реЗ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рд▓рд╛рдЧрд┐ рдЕрдиреБрдкреНрд░рдпреЛрдЧрдХреЛ рд▓рд╛рдЧрд┐ QR рдХреЛрдб рдЙрддреНрдкрдиреНрди рдЧрд░реНрдиреЗрдЫред рдпреЛ рдЬрд╣рд╛рдБ рдорджреНрджрдд рдЖрдЙрдБрдЫред рд╢реЗрд▓рд┐рдирд╛ рдмрдХреНрд╕ рд╕рдВрдЧ рд╕рдВрдпреЛрдЬрди рдорд╛ .bash_profile.
[root@freeradius ~]# yum install -y shellinabox
рдбреЗрдорди рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓ рдорд╛ рд╕реНрдерд┐рдд рдЫ /etc/sysconfig/shellinabox.
рдо рддреНрдпрд╣рд╛рдБ рдкреЛрд░реНрдЯ 443 рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдЧрд░реНрдЫреБ рд░ рддрдкрд╛рдИрдВрд▓реЗ рдЖрдлреНрдиреЛ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫред
[root@freeradius ~]#systemctl enable --now shellinaboxdрдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ рдХреЗрд╡рд▓ рд▓рд┐рдЩреНрдХ рдкрдЫреНрдпрд╛рдЙрдиреБрд╣реЛрд╕реН, рдбреЛрдореЗрди рдХреНрд░реЗрдбрд┐рдЯрд╣рд░реВ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрди рд░ рдЕрдиреБрдкреНрд░рдпреЛрдЧрдХреЛ рд▓рд╛рдЧрд┐ QR рдХреЛрдб рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫред
рдПрд▓реНрдЧреЛрд░рд┐рджрдо рдирд┐рдореНрдирд╛рдиреБрд╕рд╛рд░ рдЫ:
- рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ рдмреНрд░рд╛рдЙрдЬрд░ рдорд╛рд░реНрдлрдд рдореЗрд╕рд┐рдирдорд╛ рд▓рдЧ рдЗрди рдЧрд░реНрджрдЫред
- рдбреЛрдореЗрди рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдЬрд╛рдБрдЪ рдЧрд░рд┐рдПрдХреЛ рдЫ рдХрд┐ рдЫреИрдиред рдирднрдП рдХрд╛рд░рдмрд╛рд╣реА рд╣реБрдБрджреИрди ред
- рдпрджрд┐ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдбреЛрдореЗрди рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рд╣реЛ рднрдиреЗ, рдкреНрд░рд╢рд╛рд╕рдХ рд╕рдореВрд╣рдорд╛ рд╕рджрд╕реНрдпрддрд╛ рдЬрд╛рдБрдЪ рдЧрд░рд┐рдиреНрдЫред
- рдпрджрд┐ рдкреНрд░рд╢рд╛рд╕рдХ рд╣реЛрдЗрди рднрдиреЗ, рдпрд╕рд▓реЗ Google рдкреНрд░рдорд╛рдгрдХ рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░рд┐рдПрдХреЛ рдЫ рдХрд┐ рдЫреИрди рднрдиреЗрд░ рдЬрд╛рдБрдЪ рдЧрд░реНрджрдЫред рдпрджрд┐ рд╣реЛрдЗрди рднрдиреЗ, рддреНрдпрд╕рдкрдЫрд┐ QR рдХреЛрдб рд░ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рд▓рдЧрдЖрдЙрдЯ рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫред
- рдпрджрд┐ рдкреНрд░рд╢рд╛рд╕рдХ рд░ Google рдкреНрд░рдорд╛рдгрдХ рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░рд┐рдПрдХреЛ рдЫреИрди рднрдиреЗ, рддреНрдпрд╕рдкрдЫрд┐ рд▓рдЧрдЖрдЙрдЯ рдЧрд░реНрдиреБрд╣реЛрд╕реНред
- рдпрджрд┐ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рд╣реЛ рднрдиреЗ, рдлреЗрд░рд┐ рдЧреБрдЧрд▓ рдкреНрд░рдорд╛рдгрдХ рдЬрд╛рдБрдЪ рдЧрд░реНрдиреБрд╣реЛрд╕реНред рдпрджрд┐ рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░рд┐рдПрдХреЛ рдЫреИрди рднрдиреЗ, QR рдХреЛрдб рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫред
рд╕рдмреИ рддрд░реНрдХ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ /etc/skel/.bash_profile.
cat /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
рдлреЛрд░реНрдЯрд┐рдЧреЗрдЯ рд╕реЗрдЯрдЕрдк:
- рд╣рд╛рдореА рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдЫреМрдВ рдЕрд░реНрдзрд╡реНрдпрд╛рд╕-рд╕рд░реНрднрд░
- рд╣рд╛рдореА рдЖрд╡рд╢реНрдпрдХ рд╕рдореВрд╣рд╣рд░реВ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдЫреМрдВ, рдпрджрд┐ рдЖрд╡рд╢реНрдпрдХ рднрдПрдорд╛, рд╕рдореВрд╣рд╣рд░реВрджреНрд╡рд╛рд░рд╛ рдкрд╣реБрдБрдЪ рдирд┐рдпрдиреНрддреНрд░рдгред рд╕рдореВрд╣рдХреЛ рдирд╛рдо рд╕рдХреНрд░рд┐рдп рдЫ рдлреЛрд░реНрдЯрд┐рдЧреЗрдЯ рдкрд╛рд╕ рднрдПрдХреЛ рд╕рдореВрд╣рд╕рдБрдЧ рдореЗрд▓ рдЦрд╛рдиреБрдкрд░реНрдЫ рд╡рд┐рдХреНрд░реЗрддрд╛ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╡рд┐рд╢реЗрд╖рддрд╛ Fortinet-рд╕рдореВрд╣-рдирд╛рдо.
- рдЖрд╡рд╢реНрдпрдХ рд╕рдореНрдкрд╛рджрди рдЧрд░реНрдиреЗ SSL- рдкреЛрд░реНрдЯрд▓рд╣рд░реВред
- рдиреАрддрд┐рд╣рд░реВрдорд╛ рд╕рдореВрд╣рд╣рд░реВ рдердкреНрджреИред
рдпреЛ рд╕рдорд╛рдзрд╛рди рдХреЛ рдлрд╛рдЗрджрд╛рд╣рд░реБ:
- рдпреЛ OTP рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдЧрд░реНрди рд╕рдореНрднрд╡ рдЫ рдлреЛрд░реНрдЯрд┐рдЧреЗрдЯ рдЦреБрд▓рд╛ рд╕реНрд░реЛрдд рд╕рдорд╛рдзрд╛рдиред
- VPN рдорд╛рд░реНрдлрдд рдЬрдбрд╛рди рдЧрд░реНрджрд╛ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ рдбреЛрдореЗрди рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрджреИрди, рдЬрд╕рд▓реЗ рдЬрдбрд╛рди рдкреНрд░рдХреНрд░рд┐рдпрд╛рд▓рд╛рдИ рдХреЗрд╣реА рд╣рджрд╕рдореНрдо рд╕рд░рд▓ рдмрдирд╛рдЙрдБрдЫред 6-рдЕрдВрдХрдХреЛ рдкрд╛рд╕рд╡рд░реНрдб рд╕реБрд░рдХреНрд╖рд╛ рдиреАрддрд┐ рджреНрд╡рд╛рд░рд╛ рдкреНрд░рджрд╛рди рдЧрд░рд┐рдПрдХреЛ рдкрд╛рд╕рд╡рд░реНрдб рднрдиреНрджрд╛ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрди рд╕рдЬрд┐рд▓реЛ рдЫред рдирддрд┐рдЬрд╛рдХреЛ рд░реВрдкрдорд╛, рд╡рд┐рд╖рдпрдХреЛ рд╕рд╛рде рдЯрд┐рдХрдЯрд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛: "рдо VPN рдорд╛ рдЬрдбрд╛рди рдЧрд░реНрди рд╕рдХреНрджрд┐рди" рдШрдЯреНрдЫред
PS рд╣рд╛рдореА рдпрд╕ рд╕рдорд╛рдзрд╛рдирд▓рд╛рдИ рдЪреБрдиреМрддреА-рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛рдХреЛ рд╕рд╛рде рдкреВрд░реНрдг-рд╡рд┐рдХрд╕рд┐рдд рджреБрдИ-рдХрд╛рд░рдХ рдкреНрд░рдорд╛рдгреАрдХрд░рдгрдорд╛ рд╕реНрддрд░рд╡реГрджреНрдзрд┐ рдЧрд░реНрдиреЗ рдпреЛрдЬрдирд╛ рдЧрд░реНрдЫреМрдВред
рдЕрдкрдбреЗрдЯ:
рдкреНрд░рддрд┐рдЬреНрдЮрд╛ рдЧрд░реЗ рдЕрдиреБрд╕рд╛рд░, рдореИрд▓реЗ рдпрд╕рд▓рд╛рдИ рдЪреБрдиреМрддреА-рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рд╡рд┐рдХрд▓реНрдкрдорд╛ рдЯреНрд╡реАрдХ рдЧрд░реЗрдВред
рддреНрдпрд╕реИрд▓реЗ:
рдлрд╛рдЗрд▓рдорд╛ /etc/raddb/sites-enabled/default рдЦрдгреНрдб рдЕрдзрд┐рдХрд╛рд░ рджрд┐рдиреБрд╣реЛрд╕реН рдпрд╕реНрддреЛ рджреЗрдЦрд┐рдиреНрдЫ:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
рдЦрдгреНрдб рдкреНрд░рдорд╛рдгрд┐рдд рдЧрд░реНрдиреБрд╣реЛрд╕реН рдЕрдм рдпрд╕реНрддреЛ рджреЗрдЦрд┐рдиреНрдЫ:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
рдЕрдм рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдкреНрд░рдорд╛рдгрд┐рдХрд░рдг рдирд┐рдореНрди рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо рдЕрдиреБрд╕рд╛рд░ рд╣реБрдиреНрдЫ:
- рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ VPN рдХреНрд▓рд╛рдЗрдиреНрдЯрдорд╛ рдбреЛрдореЗрди рдХреНрд░реЗрдбрд┐рдЯрд╣рд░реВ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрджрдЫред
- Freeradius рд▓реЗ рдЦрд╛рддрд╛ рд░ рдкрд╛рд╕рд╡рд░реНрдбрдХреЛ рд╡реИрдзрддрд╛ рдЬрд╛рдБрдЪ рдЧрд░реНрджрдЫ
- рдпрджрд┐ рдкрд╛рд╕рд╡рд░реНрдб рд╕рд╣реА рдЫ рднрдиреЗ, рддреНрдпрд╕рдкрдЫрд┐ рдЯреЛрдХрдирдХреЛ рд▓рд╛рдЧрд┐ рдЕрдиреБрд░реЛрдз рдкрдард╛рдЗрдиреНрдЫред
- рдЯреЛрдХрди рдкреНрд░рдорд╛рдгреАрдХрд░рдг рднрдЗрд░рд╣реЗрдХреЛ рдЫред
- рд▓рд╛рдн)ред
рд╕реНрд░реЛрдд: www.habr.com