LinOTP दुई-कारक प्रमाणीकरण सर्भर

आज म तपाइँको कर्पोरेट नेटवर्क, वेबसाइटहरू, सेवाहरू, ssh लाई सुरक्षित गर्न दुई-कारक प्रमाणीकरण सर्भर कसरी सेटअप गर्ने भनेर साझा गर्न चाहन्छु। सर्भरले निम्न संयोजन चलाउनेछ: LinOTP + FreeRadius।

हामीलाई किन चाहिन्छ?
यो पूर्ण रूपमा नि: शुल्क, सुविधाजनक समाधान हो, यसको आफ्नै नेटवर्क भित्र, तेस्रो-पक्ष प्रदायकहरूबाट स्वतन्त्र।

यो सेवा धेरै सुविधाजनक छ, धेरै दृश्य, अन्य खुला स्रोत उत्पादनहरू भन्दा फरक छ, र यसले कार्य र नीतिहरूको ठूलो संख्यालाई समर्थन गर्दछ (उदाहरणका लागि, लगइन+पासवर्ड+(PIN+OTPToken))। API मार्फत, यसले एसएमएस पठाउने सेवाहरू (LinOTP Config->Provider Config->SMS Provider) सँग एकीकृत गर्दछ, Google Authentificator जस्ता मोबाइल अनुप्रयोगहरूका लागि कोडहरू उत्पन्न गर्दछ। मलाई लाग्छ कि यो मा छलफल गरिएको सेवा भन्दा बढी सुविधाजनक छ लेख.

यो सर्भरले Cisco ASA, OpenVPN सर्भर, Apache2, र सामान्यतया RADIUS सर्भर (उदाहरणका लागि, डेटा केन्द्रमा SSH को लागि) मार्फत प्रमाणीकरणलाई समर्थन गर्ने लगभग सबै चीजहरूसँग पूर्ण रूपमा काम गर्दछ।

आवश्यक छ:

१) डेबियन ८ (जेसी) - अनिवार्य रूपमा! (डेबियन 9 मा परीक्षण स्थापना लेखको अन्त्यमा वर्णन गरिएको छ)

सुरू गर्नुहोस्:

डेबियन 8 स्थापना गर्दै।

LinOTP भण्डार थप्नुहोस्:

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

कुञ्जीहरू थप्दै:

# gpg --search-keys 913DFF12F86258E5

कहिलेकाहीँ "सफा" स्थापनाको क्रममा, यो आदेश चलाएर, डेबियनले प्रदर्शन गर्दछ:

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

यो प्रारम्भिक gnupg सेटअप हो। ठिकै छ। बस फेरि आदेश चलाउनुहोस्।
डेबियनको प्रश्नमा:

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

हामी जवाफ दिन्छौं: 1

अर्को:

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

mysql स्थापना गर्नुहोस्। सिद्धान्तमा, तपाइँ अर्को sql सर्भर प्रयोग गर्न सक्नुहुन्छ, तर सरलताको लागि म यसलाई LinOTP को लागि सिफारिस गरिएको रूपमा प्रयोग गर्नेछु।

(अतिरिक्त जानकारी, LinOTP डाटाबेस पुन: कन्फिगर सहित, आधिकारिक कागजातमा फेला पार्न सकिन्छ। लिङ्क। त्यहाँ तपाईंले आदेश पनि फेला पार्न सक्नुहुन्छ: यदि तपाईंले पहिले नै mysql स्थापना गर्नुभएको छ भने प्यारामिटरहरू परिवर्तन गर्न dpkg-reconfigure linotp)।

# apt-get install mysql-server

# apt-get update

(फेरि अद्यावधिकहरू जाँच गर्न दुख्दैन)
LinOTP र थप मोड्युलहरू स्थापना गर्नुहोस्:

# apt-get install linotp

हामी स्थापनाकर्ताका प्रश्नहरूको जवाफ दिन्छौं:
Apache2 प्रयोग गर्नुहोस्: हो
प्रशासक Linotp को लागि पासवर्ड सिर्जना गर्नुहोस्: "तपाईको पासवर्ड"
स्व-हस्ताक्षरित प्रमाणपत्र उत्पन्न गर्नुहोस्?: हो
MySQL प्रयोग गर्नुहोस्?: हो
डाटाबेस कहाँ अवस्थित छ: localhost
सर्भरमा LinOTP डाटाबेस (आधार नाम) सिर्जना गर्नुहोस्: LinOTP2
डाटाबेसको लागि छुट्टै प्रयोगकर्ता सिर्जना गर्नुहोस्: LinOTP2
हामीले प्रयोगकर्ताको लागि पासवर्ड सेट गर्छौं: "तपाईको पासवर्ड"
के मैले अब डाटाबेस बनाउनु पर्छ? (केहि जस्तै "के तपाइँ निश्चित हुनुहुन्छ कि तपाइँ चाहनुहुन्छ ..."): हो
MySQL मूल पासवर्ड प्रविष्ट गर्नुहोस् जुन तपाईंले यसलाई स्थापना गर्दा सिर्जना गर्नुभयो: "तपाईंको पासवर्ड"
भयो।

(वैकल्पिक, तपाईंले यसलाई स्थापना गर्नुपर्दैन)

# apt-get install linotp-adminclient-cli 

(वैकल्पिक, तपाईंले यसलाई स्थापना गर्नुपर्दैन)

# apt-get install libpam-linotp  

र त्यसैले हाम्रो Linotp वेब इन्टरफेस अब उपलब्ध छ:

"<b>https</b>: //IP_сервера/manage"

म वेब इन्टरफेसमा सेटिङहरूको बारेमा केहि पछि कुरा गर्नेछु।

अब, सबैभन्दा महत्त्वपूर्ण कुरा! हामी FreeRadius उठाउँछौं र Linotp सँग लिङ्क गर्छौं।

LinOTP सँग काम गर्नको लागि FreeRadius र मोड्युल स्थापना गर्नुहोस्

# apt-get install freeradius linotp-freeradius-perl

क्लाइन्ट र प्रयोगकर्ताहरूको दायरा कन्फिगहरू ब्याकअप गर्नुहोस्।

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

एउटा खाली ग्राहक फाइल सिर्जना गर्नुहोस्:

# touch /etc/freeradius/clients.conf

हाम्रो नयाँ कन्फिगरेसन फाइल सम्पादन गर्दै (ब्याकअप कन्फिगरेसन उदाहरणको रूपमा प्रयोग गर्न सकिन्छ)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

अर्को, प्रयोगकर्ता फाइल सिर्जना गर्नुहोस्:

# touch /etc/freeradius/users

हामीले प्रमाणीकरणको लागि पर्ल प्रयोग गर्नेछौं भनेर त्रिज्यालाई बताई फाइल सम्पादन गर्छौं।

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

अर्को, फाइल सम्पादन गर्नुहोस् /etc/freeradius/modules/perl

# nano /etc/freeradius/modules/perl

हामीले मोड्युल प्यारामिटरमा perl linotp लिपिको मार्ग निर्दिष्ट गर्न आवश्यक छ:

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

... ..
अर्को, हामी एउटा फाईल सिर्जना गर्छौं जसमा हामी कुन (डोमेन, डाटाबेस वा फाइल) बाट डाटा लिने भनेर भन्छौं।

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

म यहाँ थोरै थप विवरणमा जानेछु किनभने यो महत्त्वपूर्ण छ:

टिप्पणी सहित फाइलको पूर्ण विवरण:
linOTP सर्भरको #IP (हाम्रो LinOTP सर्भरको IP ठेगाना)
URL=https://172.17.14.103/validate/simplecheck
#हाम्रो क्षेत्र जुन हामीले LinOTP वेब इन्टरफेसमा सिर्जना गर्नेछौं।)
REALM= rearm1
# LinOTP वेब थूथनमा सिर्जना गरिएको प्रयोगकर्ता समूहको नाम।
RESCONF=flat_file
#वैकल्पिक: यदि सबै कुरा ठीक छ जस्तो लाग्छ भने टिप्पणी गर्नुहोस्
डिबग = सत्य
#वैकल्पिक: यसलाई प्रयोग गर्नुहोस्, यदि तपाईंसँग स्व-हस्ताक्षरित प्रमाणपत्रहरू छन् भने, अन्यथा टिप्पणी गर्नुहोस् (यदि हामीले आफ्नै प्रमाणपत्र सिर्जना गर्न चाहन्छौं र यसलाई प्रमाणित गर्न चाहन्छौं भने)
SSL_CHECK=False

अर्को, फाइल सिर्जना गर्नुहोस् /etc/freeradius/sites-available/linotp

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

र यसमा कन्फिगरेसन प्रतिलिपि गर्नुहोस् (केही सम्पादन गर्न आवश्यक छैन):

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

अर्को हामी सिम लिङ्क सिर्जना गर्नेछौं:

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

व्यक्तिगत रूपमा, म पूर्वनिर्धारित रेडियस साइटहरू मार्छु, तर यदि तपाईंलाई आवश्यक छ भने, तपाईं तिनीहरूको कन्फिगरेसन सम्पादन गर्न वा तिनीहरूलाई असक्षम गर्न सक्नुहुन्छ।

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

अब वेब अनुहारमा फर्कौं र यसलाई अलि थप विवरणमा हेरौं:
माथिल्लो दायाँ कुनामा क्लिक गर्नुहोस् LinOTP कन्फिग -> UserIdResolvers -> नयाँ
हामीले चाहेको कुरा छनौट गर्छौं: LDAP (AD win, LDAP samba), वा SQL, वा Flatfile प्रणालीका स्थानीय प्रयोगकर्ताहरू।

आवश्यक क्षेत्रहरू भर्नुहोस्।

अर्को हामी REALMS सिर्जना गर्छौं:
माथिल्लो दायाँ कुनामा, LinOTP Config -> Realms -> New मा क्लिक गर्नुहोस्।
र हाम्रो REALMS लाई नाम दिनुहोस्, र पहिले सिर्जना गरिएको UserIdResolvers मा क्लिक गर्नुहोस्।

FreeRadius लाई यो सबै डाटा /etc/linotp2/rlm_perl.ini फाइलमा चाहिन्छ, जसरी मैले माथि लेखेको छु, त्यसैले यदि तपाईंले यसलाई सम्पादन गर्नुभएन भने, अहिले नै गर्नुहोस्।

सर्भर सबै कन्फिगर गरिएको छ।

थप:

डेबियन 9 मा LinOTP सेटअप गर्दै:

स्थापना:

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list 

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(पूर्वनिर्धारित रूपमा, डेबियन 9 mysql (mariaDB) मा रूट पासवर्ड सेट गर्न प्रस्ताव गर्दैन, पक्कै पनि तपाइँ यसलाई खाली छोड्न सक्नुहुन्छ, तर यदि तपाइँ समाचार पढ्नुहुन्छ भने, यसले प्रायः "महाकाव्य असफल" निम्त्याउँछ, त्यसैले हामी यसलाई सेट गर्नेछौं। जे भए पनि)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

कोड टाँस्नुहोस् (JuriM द्वारा पठाइएको, यसको लागि उहाँलाई धन्यवाद!):

सर्भर linotp {
सुन {
ipaddr = *
पोर्ट = 1812
type=auth
}
सुन {
ipaddr = *
पोर्ट = 1813
प्रकार = acct
}
अधिकृत {
पूर्व प्रक्रिया
अपडेट {
&नियन्त्रण:Auth-Type := Perl
}
}
प्रमाणिकरण {
Auth-Type Perl {
पर्ल
}
}
लेखा {
यूनिक्स
}
}

सम्पादन गर्नुहोस् /etc/freeradius/3.0/mods-enabled/perl

perl {
फाइलनाम = /usr/share/linotp/radius_linotp.pm
func_authenticate = प्रमाणीकरण गर्नुहोस्
func_authorize = अधिकृत
}

दुर्भाग्यवश, डेबियन 9 मा radius_linotp.pm पुस्तकालय भण्डारहरूबाट स्थापना गरिएको छैन, त्यसैले हामी यसलाई github बाट लिनेछौं।

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

अब सम्पादन गरौं /etc/freeradius/3.0/clients.conf

ग्राहक सर्भर {
ipaddr = 192.168.188.0/24
गोप्य = तपाईको पासवर्ड
}

अब nano /etc/linotp2/rlm_perl.ini सच्याउनुहोस्

हामीले डेबियन 8 मा स्थापना गर्दा उही कोड पेस्ट गर्छौं (माथि वर्णन गरिएको)

त्यो सबै विचार अनुसार हो। (अहिले सम्म परीक्षण गरिएको छैन)

म प्रायः दुई-कारक प्रमाणीकरणको साथ सुरक्षित गर्न आवश्यक पर्ने प्रणालीहरू सेटअप गर्नका लागि केही लिङ्कहरू तल छोड्नेछु:
मा दुई-कारक प्रमाणीकरण सेटअप गर्दै Apache2

Cisco ASA सँग सेटअप गर्नुहोस्(त्यहाँ फरक टोकन जेनेरेशन सर्भर प्रयोग गरिएको छ, तर ASA को सेटिङहरू उस्तै छन्)।

दुई-कारक प्रमाणीकरणको साथ VPN

समायोजन ssh मा दुई कारक प्रमाणीकरण (LinOTP त्यहाँ पनि प्रयोग गरिएको छ) - लेखकलाई धन्यवाद। त्यहाँ तपाईंले LiOTP नीतिहरू सेटअप गर्ने बारे रोचक कुराहरू पनि पाउन सक्नुहुन्छ।

साथै, धेरै साइटहरूको सेमीहरूले दुई-कारक प्रमाणीकरणलाई समर्थन गर्दछ (वर्डप्रेसको लागि, LinOTP सँग यसको आफ्नै विशेष मोड्युल पनि छ। github), उदाहरणका लागि, यदि तपाईं कम्पनीका कर्मचारीहरूका लागि आफ्नो कर्पोरेट वेबसाइटमा सुरक्षित खण्ड बनाउन चाहनुहुन्छ भने।
महत्त्वपूर्ण तथ्य! गुगल प्रमाणक प्रयोग गर्न "Google प्रमाणिकरणकर्ता" बाकस जाँच नगर्नुहोस्! QR कोड पढ्न योग्य छैन ... (अनौठो तथ्य)

यो लेख लेख्नको लागि, निम्न लेखहरूबाट जानकारी प्रयोग गरिएको थियो:
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

लेखकहरूलाई धन्यवाद।

स्रोत: www.habr.com