ProHoster > بلاګ > اداره > 2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)

کارپوریټ چاپیریال ته د لیرې لاسرسي چمتو کولو اړتیا ډیر ځله راپورته کیږي ، مهمه نده چې دا ستاسو کارونکي یا شریکان دي چې ستاسو په سازمان کې ځانګړي سرور ته لاسرسي ته اړتیا لري.

د دې اهدافو لپاره ، ډیری شرکتونه د VPN ټیکنالوژي کاروي ، کوم چې ځان د سازمان محلي سرچینو ته د لاسرسي چمتو کولو لپاره د باور وړ خوندي لاره ثابت کړې.

زما شرکت هیڅ استثنا نه وه، او موږ، د ډیری نورو په څیر، دا ټیکنالوژي کاروو. او، د ډیری نورو په څیر، موږ د سیسکو ASA 55xx د لیرې لاسرسي دروازې په توګه کاروو.

لکه څنګه چې د لیرې پرتو کاروونکو شمیر ډیریږي، د اعتبار ورکولو د پروسې ساده کولو ته اړتیا ده. مګر په ورته وخت کې، دا باید د خوندیتوب سره موافقت پرته ترسره شي.

د ځان لپاره ، موږ د سیسکو SSL VPN له لارې د وصل کولو لپاره د دوه فاکتور تصدیق کارولو کې حل موندلی ، د یو وخت پاسورډونو په کارولو سره. او دا خپرونه به تاسو ته ووایي چې څنګه د اړین سافټویر لپاره لږترلږه وخت او صفر لګښتونو سره داسې حل تنظیم کړئ (په دې شرط چې تاسو دمخه په زیربنا کې سیسکو ASA لرئ).

بازار د یو وخت پاسورډونو رامینځته کولو لپاره د بکس شوي حلونو سره ډک دی ، پداسې حال کې چې د دوی ترلاسه کولو لپاره ډیری اختیارونه وړاندیز کوي ، که دا د SMS له لارې پاسورډ لیږل یا د ټوکنونو کارول ، دواړه هارډویر او سافټویر (د مثال په توګه ، په ګرځنده تلیفون کې). مګر د پیسو خوندي کولو لیوالتیا او زما د کارمند لپاره د پیسو سپمولو لیوالتیا، په اوسني بحران کې، ما دې ته اړ کړ چې د یو وخت پاسورډونو رامینځته کولو لپاره د خدماتو پلي کولو لپاره وړیا لاره ومومئ. کوم چې ، پداسې حال کې چې وړیا ، د سوداګریزو حلونو څخه خورا ټیټ ندي (دلته موږ باید ریزرویشن وکړو ، په یاد ولرئ چې دا محصول سوداګریز نسخه هم لري ، مګر موږ موافقه وکړه چې زموږ لګښتونه ، په پیسو کې به صفر وي).

نو ، موږ اړتیا لرو:

- د لینکس عکس د وسیلو جوړ شوي سیټ سره - multiOTP، FreeRADIUS او nginx، د ویب له لارې سرور ته د لاسرسي لپاره (http://download.multiotp.net/ - ما د VMware لپاره چمتو شوی عکس کارولی)
- د فعال لارښود سرور
- پخپله سیسکو ASA (د اسانتیا لپاره، زه ASDM کاروم)
- د سافټویر هر ډول نښه چې د TOTP میکانیزم ملاتړ کوي (زه، د بیلګې په توګه، د ګوګل مستند کاروم، مګر ورته FreeOTP به وکړي)

زه به توضیحاتو ته لاړ نه شم چې عکس څنګه څرګندیږي. د پایلې په توګه، تاسو به د ډیبیان لینکس ترلاسه کړئ د ملټي او ټي پی او فریراډیس سره لا دمخه نصب شوی ، د یوځای کار کولو لپاره تنظیم شوی ، او د OTP ادارې لپاره ویب انٹرفیس.

مرحله 1. موږ سیسټم پیل کوو او ستاسو د شبکې لپاره یې تنظیم کوو
په ډیفالټ سره، سیسټم د روټ روټ اسناد سره راځي. زه فکر کوم چې هرڅوک اټکل کوي چې دا به ښه نظر وي چې د لومړي ننوتلو وروسته د روټ کارونکي پټنوم بدل کړئ. تاسو اړتیا لرئ د شبکې تنظیمات هم بدل کړئ (د ډیفالټ له مخې دا د دروازې '192.168.1.44' سره '192.168.1.1' دی). بیا تاسو کولی شئ سیسټم ریبوټ کړئ.

راځئ چې په فعال لارښود کې یو کارن جوړ کړو otpد پټنوم سره MySuperPassword.

مرحله 2. پیوستون تنظیم کړئ او د فعال لارښود کارونکي وارد کړئ
د دې کولو لپاره، موږ کنسول ته لاسرسی ته اړتیا لرو، او مستقیم فایل ته multiotp.php، د کوم په کارولو سره به موږ د فعال لارښود ته د پیوستون تنظیمات تنظیم کړو.

لارښود ته لاړ شئ /usr/local/bin/multiotp/ او په بدل کې لاندې کمانډونه اجرا کړئ:

./multiotp.php -config default-request-prefix-pin=0

معلوموي چې ایا اضافي (دایمي) پن ته اړتیا ده کله چې یو ځل پن (0 یا 1) ته ننوځي

./multiotp.php -config default-request-ldap-pwd=0

معلوموي چې ایا د ډومین پاسورډ ته اړتیا ده کله چې یو ځل پن داخل کړئ (0 یا 1)

./multiotp.php -config ldap-server-type=1

د LDAP سرور ډول ښودل شوی (0 = منظم LDAP سرور، زموږ په قضیه کې 1 = فعال لارښود)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

هغه بڼه مشخصوي چې په کوم کې د کارن نوم وړاندې کوي (دا ارزښت به یوازې نوم ښکاره کړي، پرته له ډومین)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

ورته شی، یوازې د یوې ډلې لپاره

./multiotp.php -config ldap-group-attribute="memberOf"

د دې معلومولو لپاره یوه طریقه مشخص کوي چې آیا یو کارن د یوې ډلې سره تړاو لري

./multiotp.php -config ldap-ssl=1

ایا زه باید د LDAP سرور سره خوندي اړیکه وکاروم (البته - هو!)

./multiotp.php -config ldap-port=636

د LDAP سرور سره د نښلولو لپاره بندر

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

ستاسو د فعال لارښود سرور پته

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

موږ په ګوته کوو چې چیرې په ډومین کې د کاروونکو لټون پیل کړو

./multiotp.php -config ldap-bind-dn="[email protected]"

یو کارن مشخص کړئ چې په فعال لارښود کې د لټون حق لري

./multiotp.php -config ldap-server-password="MySuperPassword"

د فعال لارښود سره د نښلولو لپاره د کارن پاسورډ مشخص کړئ

./multiotp.php -config ldap-network-timeout=10

د فعال ډایرکټر سره د نښلولو لپاره د مهال ویش تنظیم کول

./multiotp.php -config ldap-time-limit=30

موږ د کارونکي واردولو عملیاتو لپاره د وخت حد ټاکلی

./multiotp.php -config ldap-activated=1

د فعال لارښود پیوستون ترتیب فعالول

./multiotp.php -debug -display-log -ldap-users-sync

موږ کارونکي د فعال لارښود څخه واردوو

3 ګام. د نښه لپاره د QR کوډ جوړ کړئ
دلته هرڅه خورا ساده دي. په براوزر کې د OTP سرور ویب انٹرفیس خلاص کړئ ، ننوتل (د مدیر لپاره د ډیفالټ پاسورډ بدلول مه هیروئ!) ، او د "پرنټ" تڼۍ کلیک وکړئ:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
د دې عمل پایله به یوه پاڼه وي چې دوه QR کوډونه لري. موږ په زړورتیا سره د دوی لومړی له پامه غورځوو (د زړه راښکونکي لیک سره سره د ګوګل تصدیق کونکی / تصدیق کونکی / 2 مرحلې تصدیق کونکی) ، او بیا موږ په زړورتیا سره دوهم کوډ په تلیفون کې د سافټویر نښه کې سکین کوو:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
(هو، ما په قصدي توګه د QR کوډ خراب کړ ترڅو دا د لوستلو وړ نه وي).

د دې کړنو له بشپړولو وروسته به په هر دېرش ثانیو کې ستاسو په اپلیکیشن کې شپږ عددي پاسورډ پیدا شي.

د ډاډ لپاره، تاسو کولی شئ دا په ورته انٹرفیس کې وګورئ:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
ستاسو په تلیفون کې د غوښتنلیک څخه خپل کارن نوم او یو ځل پټنوم دننه کولو سره. ایا تاسو مثبت ځواب ترلاسه کړی؟ نو موږ پرمخ ځو.

4 ګام. د FreeRADIUS عملیات اضافي ترتیب او ازموینه
لکه څنګه چې ما پورته یادونه وکړه، multiOTP لا دمخه د FreeRADIUS سره کار کولو لپاره تنظیم شوی، ټول هغه څه چې پاتې دي د ازموینې پرمخ وړل او د FreeRADIUS ترتیب کولو فایل ته زموږ د VPN ګیټ وے په اړه معلومات اضافه کول دي.

موږ د سرور کنسول ته راستون شو، لارښود ته /usr/local/bin/multiotp/داخل کړئ:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

د نورو مفصلو ننوتلو په شمول.

د FreeRADIUS مراجعینو ترتیب کولو فایل کې (/etc/freeradius/clinets.conf) په اړه ټول لینونه تبصره کړئ ځایی لوسټ او دوه ننوتل اضافه کړئ:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- د ازموینې لپاره

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- زموږ د VPN دروازې لپاره.

FreeRADIUS بیا پیل کړئ او د ننوتلو هڅه وکړئ:

radtest username 100110 localhost 1812 testing321

چې کارن نوم = کارن نوم، 100110 = پاسورډ موږ ته په تلیفون کې د غوښتنلیک لخوا راکړل شوی، ځایی لوسټ = د RADIUS سرور پته، 1812 - د RADIUS سرور بندر، ازموینه - د RADIUS سرور پیرودونکي پاسورډ (کوم چې موږ په ترتیب کې مشخص کړی).

د دې کمانډ پایله به نږدې په لاندې ډول تولید شي:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

اوس موږ اړتیا لرو ډاډ ترلاسه کړو چې کارن په بریالیتوب سره تصدیق شوی. د دې کولو لپاره، موږ به د multiotp پخپله لاګ وګورو:

tail /var/log/multiotp/multiotp.log

او که وروستی داخله وي:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

بیا هرڅه سم شول او موږ کولی شو بشپړ کړو

5 ګام: د سیسکو ASA تنظیم کړئ
راځئ چې موافقه وکړو چې موږ دمخه د SLL VPN له لارې د لاسرسي لپاره تنظیم شوې ډله او پالیسۍ لرو ، د فعال لارښود سره په ګډه ترتیب شوي ، او موږ اړتیا لرو د دې پروفایل لپاره دوه فاکتور تصدیق اضافه کړو.

1. د نوي AAA سرور ګروپ اضافه کړئ:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
2. ګروپ ته زموږ ملټي او ټي پی سرور اضافه کړئ:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
3. موږ ترمیم کوو پیوستون پروفایل، د اصلي تصدیق سرور په توګه د فعال لارښود سرور ګروپ تنظیم کول:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
4. په ټب کې پرمختللی -> تصدیق موږ د فعال لارښود سرور ګروپ هم غوره کوو:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
5. په ټب کې پرمختللی -> ثانوي د تصدیق کولو لپاره، د جوړ شوي سرور ګروپ غوره کړئ په کوم کې چې د multiOTP سرور ثبت شوی. په یاد ولرئ چې د سیشن کارن نوم د لومړني AAA سرور ګروپ څخه په میراث شوی دی:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
تنظیمات پلي کړئ او

شپږم ګام، چې وروستی دی
راځئ وګورو چې ایا دوه فاکتور تصدیق د SLL VPN لپاره کار کوي:

2FA ته لاړ شئ (د ASA SSL VPN لپاره دوه فاکتور تصدیق)
وایلا! کله چې د Cisco AnyConnect VPN پیرودونکي له لارې وصل شئ ، نو تاسو به د دوهم ، یو ځل پاسورډ غوښتنه هم وشي.

زه امید لرم چې دا مقاله به د یو چا سره مرسته وکړي ، او دا به یو څوک د دې کارولو څرنګوالي په اړه فکر کولو لپاره خواړه ورکړي ، وړیا د نورو دندو لپاره د OTP سرور. که تاسو غواړئ په نظرونو کې شریک کړئ.

سرچینه: www.habr.com

Add a comment