2FA (ASA SSL VPN ਲਈ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ) 'ਤੇ ਜਾਓ

ਕਾਰਪੋਰੇਟ ਵਾਤਾਵਰਣ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਅਕਸਰ ਵੱਧਦੀ ਜਾ ਰਹੀ ਹੈ, ਭਾਵੇਂ ਇਹ ਤੁਹਾਡੇ ਉਪਭੋਗਤਾ ਜਾਂ ਭਾਈਵਾਲ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਤੁਹਾਡੀ ਸੰਸਥਾ ਵਿੱਚ ਕਿਸੇ ਖਾਸ ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੈ।

ਇਹਨਾਂ ਉਦੇਸ਼ਾਂ ਲਈ, ਜ਼ਿਆਦਾਤਰ ਕੰਪਨੀਆਂ VPN ਤਕਨਾਲੋਜੀ ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ, ਜਿਸ ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਸੰਸਥਾ ਦੇ ਸਥਾਨਕ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨ ਦਾ ਇੱਕ ਭਰੋਸੇਯੋਗ ਸੁਰੱਖਿਅਤ ਤਰੀਕਾ ਸਾਬਤ ਕੀਤਾ ਹੈ।

ਮੇਰੀ ਕੰਪਨੀ ਕੋਈ ਅਪਵਾਦ ਨਹੀਂ ਸੀ, ਅਤੇ ਅਸੀਂ, ਹੋਰ ਬਹੁਤ ਸਾਰੇ ਲੋਕਾਂ ਵਾਂਗ, ਇਸ ਤਕਨਾਲੋਜੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ. ਅਤੇ, ਕਈ ਹੋਰਾਂ ਵਾਂਗ, ਅਸੀਂ Cisco ASA 55xx ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਗੇਟਵੇ ਵਜੋਂ ਵਰਤਦੇ ਹਾਂ।

ਜਿਵੇਂ ਕਿ ਰਿਮੋਟ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਗਿਣਤੀ ਵਧਦੀ ਹੈ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਜਾਰੀ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸਰਲ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ। ਪਰ ਉਸੇ ਸਮੇਂ, ਇਹ ਸੁਰੱਖਿਆ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਬਿਨਾਂ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ.

ਆਪਣੇ ਲਈ, ਅਸੀਂ Cisco SSL VPN ਦੁਆਰਾ ਕਨੈਕਟ ਕਰਨ ਲਈ, ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਿੱਚ ਇੱਕ ਹੱਲ ਲੱਭਿਆ ਹੈ। ਅਤੇ ਇਹ ਪ੍ਰਕਾਸ਼ਨ ਤੁਹਾਨੂੰ ਦੱਸੇਗਾ ਕਿ ਲੋੜੀਂਦੇ ਸੌਫਟਵੇਅਰ ਲਈ ਘੱਟੋ-ਘੱਟ ਸਮੇਂ ਅਤੇ ਜ਼ੀਰੋ ਲਾਗਤਾਂ ਦੇ ਨਾਲ ਅਜਿਹੇ ਹੱਲ ਨੂੰ ਕਿਵੇਂ ਸੰਗਠਿਤ ਕਰਨਾ ਹੈ (ਬਸ਼ਰਤੇ ਕਿ ਤੁਹਾਡੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਪਹਿਲਾਂ ਹੀ Cisco ASA ਹੋਵੇ)।

ਮਾਰਕੀਟ ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡ ਬਣਾਉਣ ਲਈ ਬਾਕਸਡ ਹੱਲਾਂ ਨਾਲ ਭਰਪੂਰ ਹੈ, ਜਦੋਂ ਕਿ ਉਹਨਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਬਹੁਤ ਸਾਰੇ ਵਿਕਲਪ ਪੇਸ਼ ਕਰਦੇ ਹਨ, ਭਾਵੇਂ ਇਹ SMS ਦੁਆਰਾ ਪਾਸਵਰਡ ਭੇਜਣਾ ਜਾਂ ਟੋਕਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ, ਹਾਰਡਵੇਅਰ ਅਤੇ ਸੌਫਟਵੇਅਰ ਦੋਵੇਂ (ਉਦਾਹਰਨ ਲਈ, ਮੋਬਾਈਲ ਫੋਨ 'ਤੇ)। ਪਰ ਪੈਸੇ ਬਚਾਉਣ ਦੀ ਇੱਛਾ ਅਤੇ ਮੇਰੇ ਮਾਲਕ ਲਈ ਪੈਸੇ ਬਚਾਉਣ ਦੀ ਇੱਛਾ, ਮੌਜੂਦਾ ਸੰਕਟ ਵਿੱਚ, ਮੈਨੂੰ ਇੱਕ-ਵਾਰ ਪਾਸਵਰਡ ਬਣਾਉਣ ਲਈ ਇੱਕ ਸੇਵਾ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਇੱਕ ਮੁਫਤ ਤਰੀਕਾ ਲੱਭਣ ਲਈ ਮਜਬੂਰ ਕੀਤਾ. ਜੋ ਕਿ, ਮੁਫਤ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਵਪਾਰਕ ਹੱਲਾਂ ਤੋਂ ਬਹੁਤ ਘਟੀਆ ਨਹੀਂ ਹੈ (ਇੱਥੇ ਸਾਨੂੰ ਇੱਕ ਰਿਜ਼ਰਵੇਸ਼ਨ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਇਹ ਧਿਆਨ ਵਿੱਚ ਰੱਖਦੇ ਹੋਏ ਕਿ ਇਸ ਉਤਪਾਦ ਦਾ ਇੱਕ ਵਪਾਰਕ ਸੰਸਕਰਣ ਵੀ ਹੈ, ਪਰ ਅਸੀਂ ਸਹਿਮਤ ਹਾਂ ਕਿ ਸਾਡੀ ਲਾਗਤ, ਪੈਸੇ ਵਿੱਚ, ਜ਼ੀਰੋ ਹੋਵੇਗੀ)।

ਇਸ ਲਈ, ਸਾਨੂੰ ਲੋੜ ਹੋਵੇਗੀ:

- ਟੂਲਸ ਦੇ ਬਿਲਟ-ਇਨ ਸੈੱਟ ਦੇ ਨਾਲ ਇੱਕ ਲੀਨਕਸ ਚਿੱਤਰ - ਮਲਟੀਓਟੀਪੀ, ਫ੍ਰੀਰੇਡੀਅਸ ਅਤੇ ਐਨਜੀਨੈਕਸ, ਵੈੱਬ ਦੁਆਰਾ ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ (http://download.multiotp.net/ - ਮੈਂ VMware ਲਈ ਇੱਕ ਤਿਆਰ-ਬਣਾਇਆ ਚਿੱਤਰ ਵਰਤਿਆ)
- ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਰਵਰ
- Cisco ASA ਖੁਦ (ਸੁਵਿਧਾ ਲਈ, ਮੈਂ ASDM ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹਾਂ)
— ਕੋਈ ਵੀ ਸਾਫਟਵੇਅਰ ਟੋਕਨ ਜੋ TOTP ਵਿਧੀ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ (ਉਦਾਹਰਣ ਵਜੋਂ, ਮੈਂ ਗੂਗਲ ਪ੍ਰਮਾਣੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹਾਂ, ਪਰ ਉਹੀ FreeOTP ਕਰੇਗਾ)

ਮੈਂ ਇਸ ਗੱਲ ਦੇ ਵੇਰਵਿਆਂ ਵਿੱਚ ਨਹੀਂ ਜਾਵਾਂਗਾ ਕਿ ਚਿੱਤਰ ਕਿਵੇਂ ਪ੍ਰਗਟ ਹੁੰਦਾ ਹੈ. ਨਤੀਜੇ ਵਜੋਂ, ਤੁਹਾਨੂੰ ਮਲਟੀਓਟੀਪੀ ਅਤੇ ਫ੍ਰੀਰੇਡੀਅਸ ਦੇ ਨਾਲ ਡੇਬੀਅਨ ਲੀਨਕਸ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਸਥਾਪਿਤ, ਇਕੱਠੇ ਕੰਮ ਕਰਨ ਲਈ ਸੰਰਚਿਤ, ਅਤੇ OTP ਪ੍ਰਸ਼ਾਸਨ ਲਈ ਇੱਕ ਵੈੱਬ ਇੰਟਰਫੇਸ ਪ੍ਰਾਪਤ ਹੋਵੇਗਾ।

ਕਦਮ 1. ਅਸੀਂ ਸਿਸਟਮ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦੇ ਹਾਂ ਅਤੇ ਇਸਨੂੰ ਤੁਹਾਡੇ ਨੈੱਟਵਰਕ ਲਈ ਕੌਂਫਿਗਰ ਕਰਦੇ ਹਾਂ
ਮੂਲ ਰੂਪ ਵਿੱਚ, ਸਿਸਟਮ ਰੂਟ ਰੂਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਆਉਂਦਾ ਹੈ। ਮੈਨੂੰ ਲਗਦਾ ਹੈ ਕਿ ਹਰ ਕਿਸੇ ਨੇ ਅਨੁਮਾਨ ਲਗਾਇਆ ਹੈ ਕਿ ਪਹਿਲੇ ਲੌਗਇਨ ਤੋਂ ਬਾਅਦ ਰੂਟ ਉਪਭੋਗਤਾ ਪਾਸਵਰਡ ਨੂੰ ਬਦਲਣਾ ਇੱਕ ਚੰਗਾ ਵਿਚਾਰ ਹੋਵੇਗਾ। ਤੁਹਾਨੂੰ ਨੈੱਟਵਰਕ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲਣ ਦੀ ਵੀ ਲੋੜ ਹੈ (ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ ਇਹ ਗੇਟਵੇ '192.168.1.44' ਦੇ ਨਾਲ '192.168.1.1' ਹੈ)। ਇਸ ਤੋਂ ਬਾਅਦ ਤੁਸੀਂ ਸਿਸਟਮ ਨੂੰ ਰੀਬੂਟ ਕਰ ਸਕਦੇ ਹੋ।

ਚਲੋ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਉਪਭੋਗਤਾ ਬਣਾਉ OTP, ਪਾਸਵਰਡ ਨਾਲ MySuperPassword.

ਕਦਮ 2. ਕਨੈਕਸ਼ਨ ਸੈਟ ਅਪ ਕਰੋ ਅਤੇ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਯਾਤ ਕਰੋ
ਅਜਿਹਾ ਕਰਨ ਲਈ, ਸਾਨੂੰ ਕੰਸੋਲ ਅਤੇ ਸਿੱਧੇ ਫਾਈਲ ਤੱਕ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੈ multiotp.php, ਜਿਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਸੀਂ ਕਨੈਕਸ਼ਨ ਸੈਟਿੰਗਾਂ ਨੂੰ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਸੰਰਚਿਤ ਕਰਾਂਗੇ।

ਡਾਇਰੈਕਟਰੀ 'ਤੇ ਜਾਓ /usr/local/bin/multiotp/ ਅਤੇ ਬਦਲੇ ਵਿੱਚ ਹੇਠ ਲਿਖੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਓ:

./multiotp.php -config default-request-prefix-pin=0

ਇਹ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇੱਕ-ਵਾਰ ਪਿੰਨ (0 ਜਾਂ 1) ਦਾਖਲ ਕਰਨ ਵੇਲੇ ਇੱਕ ਵਾਧੂ (ਸਥਾਈ) ਪਿੰਨ ਦੀ ਲੋੜ ਹੈ ਜਾਂ ਨਹੀਂ।

./multiotp.php -config default-request-ldap-pwd=0

ਇਹ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਵਨ-ਟਾਈਮ ਪਿੰਨ (0 ਜਾਂ 1) ਦਾਖਲ ਕਰਨ ਵੇਲੇ ਡੋਮੇਨ ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਹੈ ਜਾਂ ਨਹੀਂ

./multiotp.php -config ldap-server-type=1

LDAP ਸਰਵਰ ਦੀ ਕਿਸਮ ਦਰਸਾਈ ਗਈ ਹੈ (0 = ਨਿਯਮਤ LDAP ਸਰਵਰ, ਸਾਡੇ ਕੇਸ ਵਿੱਚ 1 = ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

ਉਸ ਫਾਰਮੈਟ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਉਪਭੋਗਤਾ ਨਾਮ ਪੇਸ਼ ਕਰਨਾ ਹੈ (ਇਹ ਮੁੱਲ ਡੋਮੇਨ ਤੋਂ ਬਿਨਾਂ, ਸਿਰਫ਼ ਨਾਮ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰੇਗਾ)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

ਇੱਕੋ ਗੱਲ, ਸਿਰਫ਼ ਇੱਕ ਸਮੂਹ ਲਈ

./multiotp.php -config ldap-group-attribute="memberOf"

ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਇੱਕ ਢੰਗ ਨਿਸ਼ਚਿਤ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਇੱਕ ਉਪਭੋਗਤਾ ਇੱਕ ਸਮੂਹ ਨਾਲ ਸਬੰਧਿਤ ਹੈ

./multiotp.php -config ldap-ssl=1

ਕੀ ਮੈਨੂੰ LDAP ਸਰਵਰ ਨਾਲ ਇੱਕ ਸੁਰੱਖਿਅਤ ਕਨੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ (ਬੇਸ਼ਕ, ਹਾਂ!)

./multiotp.php -config ldap-port=636

LDAP ਸਰਵਰ ਨਾਲ ਜੁੜਨ ਲਈ ਪੋਰਟ

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

ਤੁਹਾਡਾ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਰਵਰ ਪਤਾ

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

ਅਸੀਂ ਇਹ ਸੰਕੇਤ ਕਰਦੇ ਹਾਂ ਕਿ ਡੋਮੇਨ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਖੋਜ ਕਿੱਥੋਂ ਸ਼ੁਰੂ ਕਰਨੀ ਹੈ

./multiotp.php -config ldap-bind-dn="[email protected]"

ਇੱਕ ਉਪਭੋਗਤਾ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰੋ ਜਿਸ ਕੋਲ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਖੋਜ ਅਧਿਕਾਰ ਹਨ

./multiotp.php -config ldap-server-password="MySuperPassword"

ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਨਾਲ ਜੁੜਨ ਲਈ ਯੂਜ਼ਰ ਪਾਸਵਰਡ ਦਿਓ

./multiotp.php -config ldap-network-timeout=10

ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਨਾਲ ਜੁੜਨ ਲਈ ਸਮਾਂ ਸਮਾਪਤ ਕਰਨਾ

./multiotp.php -config ldap-time-limit=30

ਅਸੀਂ ਉਪਭੋਗਤਾ ਆਯਾਤ ਕਾਰਵਾਈ ਲਈ ਇੱਕ ਸਮਾਂ ਸੀਮਾ ਨਿਰਧਾਰਤ ਕੀਤੀ ਹੈ

./multiotp.php -config ldap-activated=1

ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਕੁਨੈਕਸ਼ਨ ਸੰਰਚਨਾ ਨੂੰ ਸਰਗਰਮ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

./multiotp.php -debug -display-log -ldap-users-sync

ਅਸੀਂ ਕਿਰਿਆਸ਼ੀਲ ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਯਾਤ ਕਰਦੇ ਹਾਂ

ਕਦਮ 3. ਟੋਕਨ ਲਈ ਇੱਕ QR ਕੋਡ ਤਿਆਰ ਕਰੋ
ਇੱਥੇ ਸਭ ਕੁਝ ਬਹੁਤ ਹੀ ਸਧਾਰਨ ਹੈ. ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ OTP ਸਰਵਰ ਦਾ ਵੈੱਬ ਇੰਟਰਫੇਸ ਖੋਲ੍ਹੋ, ਲੌਗ ਇਨ ਕਰੋ (ਐਡਮਿਨ ਲਈ ਡਿਫੌਲਟ ਪਾਸਵਰਡ ਬਦਲਣਾ ਨਾ ਭੁੱਲੋ!), ਅਤੇ "ਪ੍ਰਿੰਟ" ਬਟਨ 'ਤੇ ਕਲਿੱਕ ਕਰੋ:

ਇਸ ਕਾਰਵਾਈ ਦਾ ਨਤੀਜਾ ਇੱਕ ਪੰਨਾ ਹੋਵੇਗਾ ਜਿਸ ਵਿੱਚ ਦੋ QR ਕੋਡ ਹੋਣਗੇ। ਅਸੀਂ ਦਲੇਰੀ ਨਾਲ ਉਹਨਾਂ ਵਿੱਚੋਂ ਪਹਿਲੇ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦੇ ਹਾਂ (ਆਕਰਸ਼ਕ ਸ਼ਿਲਾਲੇਖ ਗੂਗਲ ਪ੍ਰਮਾਣੀਕਰਤਾ / ਪ੍ਰਮਾਣੀਕਰਤਾ / 2 ਸਟੈਪਸ ਪ੍ਰਮਾਣਕ ਦੇ ਬਾਵਜੂਦ), ਅਤੇ ਫਿਰ ਅਸੀਂ ਦਲੇਰੀ ਨਾਲ ਦੂਜੇ ਕੋਡ ਨੂੰ ਫ਼ੋਨ 'ਤੇ ਇੱਕ ਸੌਫਟਵੇਅਰ ਟੋਕਨ ਵਿੱਚ ਸਕੈਨ ਕਰਦੇ ਹਾਂ:

(ਹਾਂ, ਮੈਂ ਜਾਣਬੁੱਝ ਕੇ QR ਕੋਡ ਨੂੰ ਪੜ੍ਹਨਯੋਗ ਬਣਾਉਣ ਲਈ ਖਰਾਬ ਕਰ ਦਿੱਤਾ ਹੈ)।

ਇਹਨਾਂ ਕਾਰਵਾਈਆਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਡੀ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਹਰ ਤੀਹ ਸਕਿੰਟਾਂ ਵਿੱਚ ਇੱਕ ਛੇ-ਅੰਕ ਦਾ ਪਾਸਵਰਡ ਤਿਆਰ ਹੋਣਾ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗਾ।

ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ, ਤੁਸੀਂ ਇਸਨੂੰ ਉਸੇ ਇੰਟਰਫੇਸ ਵਿੱਚ ਚੈੱਕ ਕਰ ਸਕਦੇ ਹੋ:

ਆਪਣੇ ਫ਼ੋਨ 'ਤੇ ਐਪਲੀਕੇਸ਼ਨ ਤੋਂ ਆਪਣਾ ਯੂਜ਼ਰਨੇਮ ਅਤੇ ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਕੇ। ਕੀ ਤੁਹਾਨੂੰ ਸਕਾਰਾਤਮਕ ਜਵਾਬ ਮਿਲਿਆ ਹੈ? ਇਸ ਲਈ ਅਸੀਂ ਅੱਗੇ ਵਧਦੇ ਹਾਂ.

ਕਦਮ 4. FreeRADIUS ਓਪਰੇਸ਼ਨ ਦੀ ਵਾਧੂ ਸੰਰਚਨਾ ਅਤੇ ਟੈਸਟਿੰਗ
ਜਿਵੇਂ ਕਿ ਮੈਂ ਉੱਪਰ ਦੱਸਿਆ ਹੈ, ਮਲਟੀਓਟੀਪੀ ਪਹਿਲਾਂ ਹੀ ਫ੍ਰੀਰੇਡੀਅਸ ਦੇ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕੁਝ ਬਚਿਆ ਹੈ ਉਹ ਟੈਸਟਾਂ ਨੂੰ ਚਲਾਉਣਾ ਅਤੇ ਸਾਡੇ ਵੀਪੀਐਨ ਗੇਟਵੇ ਬਾਰੇ ਜਾਣਕਾਰੀ ਨੂੰ ਫ੍ਰੀਰੇਡੀਅਸ ਕੌਂਫਿਗਰੇਸ਼ਨ ਫਾਈਲ ਵਿੱਚ ਜੋੜਨਾ ਹੈ।

ਅਸੀਂ ਸਰਵਰ ਕੰਸੋਲ ਤੇ, ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਵਾਪਸ ਆਉਂਦੇ ਹਾਂ /usr/local/bin/multiotp/, ਦਾਖਲ ਕਰੋ:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

ਹੋਰ ਵਿਸਤ੍ਰਿਤ ਲੌਗਿੰਗ ਸਮੇਤ.

FreeRADIUS ਕਲਾਇੰਟਸ ਸੰਰਚਨਾ ਫਾਇਲ ਵਿੱਚ (/etc/freeradius/clinets.conf) ਨਾਲ ਸਬੰਧਤ ਸਾਰੀਆਂ ਲਾਈਨਾਂ ਨੂੰ ਟਿੱਪਣੀ ਕਰੋ ਲੋਕਲਹੋਸਟ ਅਤੇ ਦੋ ਐਂਟਰੀਆਂ ਜੋੜੋ:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- ਟੈਸਟ ਲਈ

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- ਸਾਡੇ ਵੀਪੀਐਨ ਗੇਟਵੇ ਲਈ।

FreeRADIUS ਨੂੰ ਰੀਸਟਾਰਟ ਕਰੋ ਅਤੇ ਲੌਗ ਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੋ:

radtest username 100110 localhost 1812 testing321

ਜਿੱਥੇ ਉਪਭੋਗੀ = ਉਪਭੋਗਤਾ ਨਾਮ, 100110 = ਫੋਨ 'ਤੇ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਸਾਨੂੰ ਦਿੱਤਾ ਗਿਆ ਪਾਸਵਰਡ, ਲੋਕਲਹੋਸਟ = RADIUS ਸਰਵਰ ਪਤਾ, 1812 - ਰੇਡੀਅਸ ਸਰਵਰ ਪੋਰਟ, testing321 — RADIUS ਸਰਵਰ ਕਲਾਇੰਟ ਪਾਸਵਰਡ (ਜੋ ਅਸੀਂ ਸੰਰਚਨਾ ਵਿੱਚ ਦਿੱਤਾ ਹੈ)।

ਇਸ ਕਮਾਂਡ ਦਾ ਨਤੀਜਾ ਲਗਭਗ ਹੇਠਾਂ ਦਿੱਤੇ ਅਨੁਸਾਰ ਆਉਟਪੁੱਟ ਹੋਵੇਗਾ:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

ਹੁਣ ਸਾਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਸਫਲਤਾਪੂਰਵਕ ਪ੍ਰਮਾਣਿਤ ਹੈ. ਅਜਿਹਾ ਕਰਨ ਲਈ, ਅਸੀਂ ਮਲਟੀਓਟਪ ਦੇ ਲੌਗ ਨੂੰ ਵੇਖਾਂਗੇ:

tail /var/log/multiotp/multiotp.log

ਅਤੇ ਜੇਕਰ ਆਖਰੀ ਐਂਟਰੀ ਹੈ:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

ਫਿਰ ਸਭ ਕੁਝ ਠੀਕ ਹੋ ਗਿਆ ਅਤੇ ਅਸੀਂ ਪੂਰਾ ਕਰ ਸਕਦੇ ਹਾਂ

ਕਦਮ 5: Cisco ASA ਕੌਂਫਿਗਰ ਕਰੋ
ਆਓ ਇਸ ਗੱਲ ਨਾਲ ਸਹਿਮਤ ਹਾਂ ਕਿ ਸਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਹੀ SLL VPN ਦੁਆਰਾ ਪਹੁੰਚ ਲਈ ਇੱਕ ਸੰਰਚਿਤ ਸਮੂਹ ਅਤੇ ਨੀਤੀਆਂ ਹਨ, ਜੋ ਕਿ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਦੇ ਨਾਲ ਸੰਰਚਿਤ ਹੈ, ਅਤੇ ਸਾਨੂੰ ਇਸ ਪ੍ਰੋਫਾਈਲ ਲਈ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਜੋੜਨ ਦੀ ਲੋੜ ਹੈ।

1. ਇੱਕ ਨਵਾਂ AAA ਸਰਵਰ ਸਮੂਹ ਸ਼ਾਮਲ ਕਰੋ:

2. ਸਾਡੇ ਮਲਟੀਓਟੀਪੀ ਸਰਵਰ ਨੂੰ ਸਮੂਹ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ:

3. ਅਸੀਂ ਸੰਪਾਦਿਤ ਕਰਦੇ ਹਾਂ ਕਨੈਕਸ਼ਨ ਪ੍ਰੋਫਾਈਲ, ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਰਵਰ ਗਰੁੱਪ ਨੂੰ ਮੁੱਖ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਦੇ ਤੌਰ 'ਤੇ ਸੈੱਟ ਕਰਨਾ:

4. ਟੈਬ ਵਿੱਚ ਉੱਨਤ -> ਪ੍ਰਮਾਣਿਕਤਾ ਅਸੀਂ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਸਰਵਰ ਸਮੂਹ ਨੂੰ ਵੀ ਚੁਣਦੇ ਹਾਂ:

5. ਟੈਬ ਵਿੱਚ ਉੱਨਤ -> ਸੈਕੰਡਰੀ ਪ੍ਰਮਾਣਿਕਤਾ, ਬਣਾਇਆ ਸਰਵਰ ਸਮੂਹ ਚੁਣੋ ਜਿਸ ਵਿੱਚ ਮਲਟੀਓਟੀਪੀ ਸਰਵਰ ਰਜਿਸਟਰਡ ਹੈ। ਨੋਟ ਕਰੋ ਕਿ ਸੈਸ਼ਨ ਉਪਭੋਗਤਾ ਨਾਮ ਪ੍ਰਾਇਮਰੀ AAA ਸਰਵਰ ਸਮੂਹ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਗਿਆ ਹੈ:

ਸੈਟਿੰਗਾਂ ਨੂੰ ਲਾਗੂ ਕਰੋ ਅਤੇ

ਕਦਮ 6, ਉਰਫ ਆਖਰੀ
ਚਲੋ ਜਾਂਚ ਕਰੀਏ ਕਿ ਕੀ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ SLL VPN ਲਈ ਕੰਮ ਕਰਦੀ ਹੈ:

ਵੋਇਲਾ! ਜਦੋਂ Cisco AnyConnect VPN ਕਲਾਇੰਟ ਦੁਆਰਾ ਕਨੈਕਟ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਇੱਕ ਸੈਕਿੰਡ, ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡ ਲਈ ਵੀ ਕਿਹਾ ਜਾਵੇਗਾ।

ਮੈਨੂੰ ਉਮੀਦ ਹੈ ਕਿ ਇਹ ਲੇਖ ਕਿਸੇ ਦੀ ਮਦਦ ਕਰੇਗਾ, ਅਤੇ ਇਹ ਕਿ ਇਹ ਕਿਸੇ ਨੂੰ ਇਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਬਾਰੇ ਸੋਚਣ ਲਈ ਭੋਜਨ ਦੇਵੇਗਾ, ਮੁਫ਼ਤ OTP ਸਰਵਰ, ਹੋਰ ਕੰਮਾਂ ਲਈ। ਜੇ ਤੁਸੀਂ ਚਾਹੋ ਤਾਂ ਟਿੱਪਣੀਆਂ ਵਿੱਚ ਸਾਂਝਾ ਕਰੋ.

ਸਰੋਤ: www.habr.com