🥇 2FA मा जानुहोस् (ASA SSL VPN को लागि दुई कारक प्रमाणीकरण)

कर्पोरेट वातावरणमा रिमोट पहुँच प्रदान गर्ने आवश्यकता प्रायः बढ्दै गइरहेको छ, चाहे यो तपाइँको प्रयोगकर्ता वा साझेदार हो जसलाई तपाइँको संगठनको एक विशेष सर्भरमा पहुँच चाहिन्छ।

यी उद्देश्यहरूका लागि, धेरै कम्पनीहरूले VPN प्रविधि प्रयोग गर्छन्, जसले संगठनको स्थानीय स्रोतहरूमा पहुँच प्रदान गर्ने भरपर्दो रूपमा सुरक्षित तरिका साबित भएको छ।

मेरो कम्पनी कुनै अपवाद थिएन, र हामी, अरू धेरै जस्तै, यो प्रविधि प्रयोग। र, अरू धेरैजस्तै, हामी Cisco ASA 55xx लाई रिमोट एक्सेस गेटवेको रूपमा प्रयोग गर्छौं।

रिमोट प्रयोगकर्ताको संख्या बढ्दै जाँदा, प्रमाणपत्र जारी गर्ने प्रक्रियालाई सरल बनाउन आवश्यक छ। तर एकै समयमा, यो सुरक्षा सम्झौता बिना गर्नु पर्छ।

हाम्रो लागि, हामीले सिस्को SSL VPN मार्फत जडान गर्नको लागि दुई-कारक प्रमाणीकरण प्रयोग गरेर, एक-पटक पासवर्डहरू प्रयोग गरेर समाधान फेला पार्यौं। र यस प्रकाशनले तपाईंलाई आवश्यक सफ्टवेयरको लागि न्यूनतम समय र शून्य लागतमा यस्तो समाधान कसरी व्यवस्थित गर्ने भनेर बताउनेछ (तपाईँको पूर्वाधारमा सिस्को एएसए छ भने)।

बजार एक-पटक पासवर्डहरू उत्पन्न गर्नका लागि बक्स समाधानहरूले भरिएको छ, जबकि तिनीहरूलाई प्राप्त गर्नका लागि धेरै विकल्पहरू प्रस्ताव गर्दै, यो एसएमएस मार्फत पासवर्ड पठाउने होस् वा टोकनहरू प्रयोग गरेर, हार्डवेयर र सफ्टवेयर दुवै (उदाहरणका लागि, मोबाइल फोनमा)। तर पैसा बचत गर्ने इच्छा र मेरो नियोक्ताको लागि पैसा बचत गर्ने इच्छा, हालको संकटमा, मलाई एक-पटक पासवर्डहरू उत्पन्न गर्न सेवा लागू गर्न नि: शुल्क तरिका खोज्न बाध्य बनायो। जुन, नि:शुल्क हुँदा, व्यावसायिक समाधानहरू भन्दा धेरै कम छैन (यहाँ हामीले रिजर्भेसन गर्नुपर्छ, यो नोट गर्दै कि यो उत्पादनको व्यावसायिक संस्करण पनि छ, तर हामी सहमत छौं कि हाम्रो लागत, पैसामा, शून्य हुनेछ)।

त्यसोभए, हामीलाई चाहिन्छ:

- उपकरणहरूको निर्मित सेटको साथ लिनक्स छवि - multiOTP, FreeRADIUS र nginx, वेब मार्फत सर्भर पहुँच गर्नका लागि (http://download.multiotp.net/ - मैले VMware को लागि तयार-निर्मित छवि प्रयोग गरेको छु)
- सक्रिय निर्देशिका सर्भर
- Cisco ASA आफै (सुविधाको लागि, म ASDM प्रयोग गर्छु)
— TOTP मेकानिजमलाई समर्थन गर्ने कुनै पनि सफ्टवेयर टोकन (म, उदाहरणका लागि, Google प्रमाणक प्रयोग गर्छु, तर त्यही FreeOTP ले गर्नेछ)

म छवि कसरी प्रकट हुन्छ भन्ने विवरणमा जानेछैन। नतिजाको रूपमा, तपाईंले डेबियन लिनक्स प्राप्त गर्नुहुनेछ जुन मल्टिओटीपी र FreeRADIUS पहिले नै स्थापित छ, सँगै काम गर्न कन्फिगर गरिएको छ, र OTP प्रशासित गर्नको लागि वेब इन्टरफेस।

चरण 1। हामी प्रणाली सुरु गर्छौं र यसलाई तपाईंको नेटवर्कको लागि कन्फिगर गर्छौं
पूर्वनिर्धारित रूपमा, प्रणाली रूट रूट प्रमाणहरूसँग आउँछ। मलाई लाग्छ कि सबैले अनुमान गरे कि यो पहिलो लगइन पछि रूट प्रयोगकर्ता पासवर्ड परिवर्तन गर्न एक राम्रो विचार हुनेछ। तपाईंले नेटवर्क सेटिङहरू पनि परिवर्तन गर्न आवश्यक छ (पूर्वनिर्धारित रूपमा यो गेटवे '192.168.1.44' सँग '192.168.1.1' हो)। पछि तपाइँ प्रणाली रिबुट गर्न सक्नुहुन्छ।

सक्रिय निर्देशिकामा प्रयोगकर्ता सिर्जना गरौं ओटिपी, पासवर्ड संग MySuperPassword.

चरण 2. जडान सेट अप गर्नुहोस् र सक्रिय निर्देशिका प्रयोगकर्ताहरू आयात गर्नुहोस्
यो गर्नको लागि, हामीलाई कन्सोलमा पहुँच चाहिन्छ, र सीधा फाइलमा multiotp.php, जसको प्रयोग गरेर हामी सक्रिय निर्देशिकामा जडान सेटिङहरू कन्फिगर गर्नेछौं।

निर्देशिकामा जानुहोस् /usr/local/bin/multiotp/ र बारीमा निम्न आदेशहरू कार्यान्वयन गर्नुहोस्:

./multiotp.php -config default-request-prefix-pin=0

एक पटकको पिन (० वा १) प्रविष्ट गर्दा अतिरिक्त (स्थायी) पिन आवश्यक छ कि छैन भनेर निर्धारण गर्दछ।

./multiotp.php -config default-request-ldap-pwd=0

एक पटकको पिन (० वा १) प्रविष्ट गर्दा डोमेन पासवर्ड आवश्यक छ कि छैन भनेर निर्धारण गर्दछ।

./multiotp.php -config ldap-server-type=1

LDAP सर्भरको प्रकार संकेत गरिएको छ (0 = नियमित LDAP सर्भर, हाम्रो मामलामा 1 = सक्रिय निर्देशिका)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

प्रयोगकर्तानाम प्रस्तुत गर्ने ढाँचा निर्दिष्ट गर्दछ (यो मानले डोमेन बिना नाम मात्र प्रदर्शन गर्नेछ)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

एउटै कुरा, केवल समूहको लागि

./multiotp.php -config ldap-group-attribute="memberOf"

प्रयोगकर्ता समूहको हो कि होइन भनेर निर्धारण गर्नको लागि विधि निर्दिष्ट गर्दछ

./multiotp.php -config ldap-ssl=1

के मैले LDAP सर्भरमा सुरक्षित जडान प्रयोग गर्नुपर्छ (अवश्य, हो!)

./multiotp.php -config ldap-port=636

LDAP सर्भरमा जडान गर्नको लागि पोर्ट

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

तपाईंको सक्रिय निर्देशिका सर्भर ठेगाना

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

हामीले डोमेनमा प्रयोगकर्ताहरूको खोजी कहाँ सुरु गर्ने भनेर संकेत गर्छौं

./multiotp.php -config ldap-bind-dn="[email protected]"

सक्रिय निर्देशिकामा खोज अधिकार भएको प्रयोगकर्ता निर्दिष्ट गर्नुहोस्

./multiotp.php -config ldap-server-password="MySuperPassword"

सक्रिय निर्देशिका जडान गर्न प्रयोगकर्ता पासवर्ड निर्दिष्ट गर्नुहोस्

./multiotp.php -config ldap-network-timeout=10

सक्रिय निर्देशिकामा जडान गर्नको लागि समय समाप्ति सेट गर्दै

./multiotp.php -config ldap-time-limit=30

हामीले प्रयोगकर्ता आयात सञ्चालनको लागि समय सीमा सेट गरेका छौं

./multiotp.php -config ldap-activated=1

सक्रिय निर्देशिका जडान कन्फिगरेसन सक्रिय गर्दै

./multiotp.php -debug -display-log -ldap-users-sync

हामी सक्रिय निर्देशिकाबाट प्रयोगकर्ताहरू आयात गर्छौं

चरण 3. टोकनको लागि QR कोड उत्पन्न गर्नुहोस्
यहाँ सबै कुरा एकदम सरल छ। ब्राउजरमा OTP सर्भरको वेब इन्टरफेस खोल्नुहोस्, लग इन गर्नुहोस् (व्यवस्थापकको लागि पूर्वनिर्धारित पासवर्ड परिवर्तन गर्न नबिर्सनुहोस्!), र "प्रिन्ट" बटनमा क्लिक गर्नुहोस्:

यस कार्यको नतिजा एक पृष्ठ हुनेछ जसमा दुई QR कोडहरू छन्। हामीले साहसपूर्वक ती मध्ये पहिलोलाई बेवास्ता गर्छौं (आकर्षक शिलालेख Google प्रमाणक / प्रमाणक / 2 चरण प्रमाणकको बावजुद), र फेरि हामी साहसपूर्वक दोस्रो कोडलाई फोनमा सफ्टवेयर टोकनमा स्क्यान गर्छौं:

(हो, मैले जानाजानी QR कोडलाई पढ्न नसकिने बनाउन बिगारेको छु)।

यी कार्यहरू पूरा गरेपछि, प्रत्येक तीस सेकेन्डमा तपाईंको अनुप्रयोगमा छ-अङ्कको पासवर्ड उत्पन्न हुन थाल्नेछ।

निश्चित हुनको लागि, तपाइँ यसलाई एउटै इन्टरफेसमा जाँच गर्न सक्नुहुन्छ:

तपाईको फोनमा रहेको एप्लिकेसनबाट तपाईको प्रयोगकर्ता नाम र एक पटकको पासवर्ड प्रविष्ट गरेर। के तपाईंले सकारात्मक प्रतिक्रिया पाउनुभयो? त्यसैले अगाडि बढौं।

चरण 4. FreeRADIUS सञ्चालनको अतिरिक्त कन्फिगरेसन र परीक्षण
मैले माथि उल्लेख गरेझैं, मल्टिओटीपी पहिले नै FreeRADIUS सँग काम गर्न कन्फिगर गरिएको छ, बाँकी सबै परीक्षणहरू चलाउन र FreeRADIUS कन्फिगरेसन फाइलमा हाम्रो VPN गेटवेको बारेमा जानकारी थप्नको लागि हो।

हामी सर्भर कन्सोलमा फर्कन्छौं, डाइरेक्टरीमा /usr/local/bin/multiotp/, प्रविष्ट गर्नुहोस्:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

थप विस्तृत लगिङ सहित।

FreeRADIUS क्लाइन्ट कन्फिगरेसन फाइलमा (/etc/freeradius/clinets.conf) सम्बन्धित सबै लाइनहरू टिप्पणी गर्नुहोस् लोकलहोस्ट र दुई प्रविष्टिहरू थप्नुहोस्:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- परीक्षणको लागि

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- हाम्रो VPN गेटवे को लागी।

FreeRADIUS पुन: सुरु गर्नुहोस् र लग इन गर्ने प्रयास गर्नुहोस्:

radtest username 100110 localhost 1812 testing321

जहाँ प्रयोगकर्ता नाम = प्रयोगकर्ता नाम, 100110 = फोनमा एप्लिकेसनले हामीलाई दिएको पासवर्ड, लोकलहोस्ट = RADIUS सर्भर ठेगाना, 1812 - RADIUS सर्भर पोर्ट, परीक्षण 321 - RADIUS सर्भर क्लाइन्ट पासवर्ड (जसलाई हामीले कन्फिगरेसनमा निर्दिष्ट गरेका छौं)।

यस आदेशको परिणाम लगभग निम्नानुसार आउटपुट हुनेछ:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

अब हामीले प्रयोगकर्ता सफलतापूर्वक प्रमाणीकरण गरिएको छ भनेर सुनिश्चित गर्न आवश्यक छ। यो गर्न को लागी, हामी multiotp को लग मा हेर्नेछौं:

tail /var/log/multiotp/multiotp.log

र यदि अन्तिम प्रविष्टि त्यहाँ छ:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

त्यसपछि सबै राम्रो भयो र हामी पूरा गर्न सक्छौं

चरण 5: Cisco ASA कन्फिगर गर्नुहोस्
हामीसँग पहिले नै कन्फिगर गरिएको समूह र SLL VPN मार्फत पहुँचका लागि नीतिहरू छन्, सक्रिय निर्देशिकासँग कन्फिगर गरिएको छ, र हामीले यस प्रोफाइलको लागि दुई-कारक प्रमाणीकरण थप्न आवश्यक छ भन्ने कुरामा सहमत छौं।

1. नयाँ AAA सर्भर समूह थप्नुहोस्:

2. समूहमा हाम्रो multiOTP सर्भर थप्नुहोस्:

3. हामी सम्पादन गर्छौं जडान प्रोफाइल, मुख्य प्रमाणीकरण सर्भरको रूपमा सक्रिय निर्देशिका सर्भर समूह सेट गर्दै:

4. ट्याबमा उन्नत -> प्रमाणीकरण हामी सक्रिय निर्देशिका सर्भर समूह पनि चयन गर्छौं:

5. ट्याबमा उन्नत -> माध्यमिक प्रमाणीकरण, मल्टिओटीपी सर्भर दर्ता भएको सिर्जना गरिएको सर्भर समूह चयन गर्नुहोस्। ध्यान दिनुहोस् कि सत्र प्रयोगकर्ता नाम प्राथमिक AAA सर्भर समूहबाट प्राप्त भएको हो:

सेटिङहरू लागू गर्नुहोस् र

चरण 6, अन्तिम एक उर्फ
SLL VPN का लागि दुई-कारक प्रमाणीकरणले काम गर्छ कि गर्दैन जाँच गरौं:

भोइला! Cisco AnyConnect VPN क्लाइन्ट मार्फत जडान गर्दा, तपाइँलाई एक सेकेन्ड, एक पटकको पासवर्ड पनि सोधिनेछ।

मलाई आशा छ कि यो लेखले कसैलाई मद्दत गर्नेछ, र यसले कसैलाई यो कसरी प्रयोग गर्ने भनेर सोच्नको लागि खाना दिनेछ, सित्तैमा OTP सर्भर, अन्य कार्यहरूको लागि। यदि तपाईं चाहनुहुन्छ भने टिप्पणीहरूमा साझा गर्नुहोस्।

स्रोत: www.habr.com

2FA मा जानुहोस् (ASA SSL VPN को लागि दुई-कारक प्रमाणीकरण)

एक टिप्पणी थप्न Отменить ответ