ආයතනික පරිසරයකට දුරස්ථ ප්රවේශයක් ලබා දීමේ අවශ්යතාවය වැඩි වැඩියෙන් මතුවෙමින් පවතී, එය ඔබේ සංවිධානයේ විශේෂිත සේවාදායකයකට ප්රවේශය අවශ්ය වන්නේ ඔබේ පරිශීලකයන් හෝ හවුල්කරුවන්ද යන්න නොසලකා.
මෙම අරමුණු සඳහා, බොහෝ සමාගම් VPN තාක්ෂණය භාවිතා කරයි, එය සංවිධානයේ දේශීය සම්පත් වෙත ප්රවේශය ලබා දීමේ විශ්වාසදායක ආරක්ෂිත ක්රමයක් බව ඔප්පු වී ඇත.
මගේ සමාගම ව්යතිරේකයක් නොවූ අතර, අපි බොහෝ අය මෙන් මෙම තාක්ෂණය භාවිතා කරමු. තවද, වෙනත් බොහෝ අය මෙන්, අපි දුරස්ථ ප්රවේශ ද්වාරයක් ලෙස Cisco ASA 55xx භාවිතා කරමු.
දුරස්ථ පරිශීලකයින් සංඛ්යාව වැඩි වන විට, අක්තපත්ර නිකුත් කිරීමේ ක්රියා පටිපාටිය සරල කිරීමට අවශ්ය වේ. නමුත් ඒ සමඟම, මෙය ආරක්ෂාවට හානි නොවන පරිදි සිදු කළ යුතුය.
අප සඳහාම, අපි එක් වරක් මුරපද භාවිතා කරමින් Cisco SSL VPN හරහා සම්බන්ධ වීමට ද්වි-සාධක සත්යාපනය භාවිතා කිරීමේ විසඳුමක් සොයා ගත්තෙමු. අවශ්ය මෘදුකාංග සඳහා අවම කාලයක් සහ ශුන්ය පිරිවැයකින් එවැනි විසඳුමක් සංවිධානය කරන්නේ කෙසේදැයි මෙම ප්රකාශනය ඔබට කියනු ඇත (ඔබේ යටිතල ව්යුහයේ දැනටමත් Cisco ASA තිබේ නම්).
කෙටි පණිවුඩ හරහා මුරපදය යැවීම හෝ දෘඩාංග සහ මෘදුකාංග යන දෙකෙහිම (උදාහරණයක් ලෙස, ජංගම දුරකථනයක) ටෝකන භාවිතයෙන් ඒවා ලබා ගැනීම සඳහා විකල්ප රාශියක් ඉදිරිපත් කරන අතරම, එක්-වරක් මුරපද ජනනය කිරීම සඳහා කොටු විසඳුම් වලින් වෙළඳපල පිරී ඇත. නමුත් මුදල් ඉතිරි කිරීමට ඇති ආශාව සහ මගේ සේවායෝජකයා සඳහා මුදල් ඉතිරි කිරීමට ඇති ආශාව, වත්මන් අර්බුදය තුළ, එක් වරක් මුරපද උත්පාදනය කිරීම සඳහා සේවාවක් ක්රියාත්මක කිරීම සඳහා නිදහස් ක්රමයක් සොයා ගැනීමට මට බල කෙරුනි. එය නොමිලේ වුවද, වාණිජ විසඳුම් වලට වඩා පහත් නොවේ (මෙහිදී අපි වෙන් කරවා ගත යුතුය, මෙම නිෂ්පාදනයට වාණිජ අනුවාදයක් ද ඇති බව සඳහන් කරමින්, නමුත් අපගේ පිරිවැය මුදලින් ශුන්ය වනු ඇති බවට අපි එකඟ විය).
එබැවින්, අපට අවශ්ය වනු ඇත:
- වෙබය හරහා සේවාදායකයට ප්රවේශ වීම සඳහා බහුOTP, FreeRADIUS සහ nginx යන මෙවලම් කට්ටලයක් සහිත Linux රූපයක් (http://download.multiotp.net/ - මම VMware සඳහා සූදානම් කළ රූපයක් භාවිතා කළෙමි)
- ක්රියාකාරී නාමාවලි සේවාදායකය
— Cisco ASA ම (පහසුව සඳහා, මම ASDM භාවිතා කරමි)
— TOTP යාන්ත්රණයට සහය දක්වන ඕනෑම මෘදුකාංග ටෝකනයක් (උදාහරණයක් ලෙස, මම Google Authenticator භාවිතා කරමි, නමුත් එකම FreeOTP කරනු ඇත)
රූපය දිග හැරෙන ආකාරය පිළිබඳ විස්තර වලට මම නොයමි. එහි ප්රතිඵලයක් ලෙස, ඔබට දැනටමත් ස්ථාපනය කර ඇති multiOTP සහ FreeRADIUS සමඟ එක්ව වැඩ කිරීමට වින්යාස කර ඇති සහ OTP පරිපාලනය සඳහා වෙබ් අතුරු මුහුණතක් සහිත Debian Linux ලැබෙනු ඇත.
පියවර 1. අපි පද්ධතිය ආරම්භ කර එය ඔබගේ ජාලය සඳහා වින්යාස කරන්නෙමු
පෙරනිමියෙන්, පද්ධතිය මූල මූල අක්තපත්ර සමඟ පැමිණේ. පළමු ලොගින් වීමෙන් පසු root පරිශීලක මුරපදය වෙනස් කිරීම හොඳ අදහසක් යැයි මම සිතමි. ඔබට ජාල සැකසුම් වෙනස් කිරීමටද අවශ්ය වේ (පෙරනිමියෙන් එය '192.168.1.44' ද්වාරය සමඟ '192.168.1.1' වේ). ඊට පසු, ඔබට පද්ධතිය නැවත ආරම්භ කළ හැකිය.
අපි Active Directory එකේ user කෙනෙක් හදමු ප්ලොට්, මුරපදය සමඟ MySuperPassword.
පියවර 2. සම්බන්ධතාවය සකසන්න සහ සක්රීය නාමාවලි පරිශීලකයින් ආයාත කරන්න
මෙය සිදු කිරීම සඳහා, අපට කොන්සෝලය වෙත ප්රවේශය අවශ්ය වේ, සහ කෙලින්ම ගොනුවට multiotp.php, එය භාවිතයෙන් අපි සම්බන්ධතා සැකසුම් සක්රීය නාමාවලියට වින්යාස කරන්නෙමු.
නාමාවලිය වෙත යන්න /usr/local/bin/multiotp/ සහ පහත විධානයන් ක්රියාත්මක කරන්න:
./multiotp.php -config default-request-prefix-pin=0
එක් වරක පින් එකක් (0 හෝ 1) ඇතුළු කරන විට අමතර (ස්ථිර) පින් එකක් අවශ්යද යන්න තීරණය කරයි.
./multiotp.php -config default-request-ldap-pwd=0
එක් වරක් pin එකක් ඇතුල් කිරීමේදී වසම් මුරපදයක් අවශ්යද යන්න තීරණය කරයි (0 හෝ 1)
./multiotp.php -config ldap-server-type=1
LDAP සේවාදායකයේ වර්ගය දක්වා ඇත (0 = සාමාන්ය LDAP සේවාදායකය, අපගේ නඩුවේ 1 = ක්රියාකාරී නාමාවලිය)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"
පරිශීලක නාමය ඉදිරිපත් කළ යුතු ආකෘතිය සඳහන් කරයි (මෙම අගය වසම නොමැතිව නම පමණක් පෙන්වනු ඇත)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"
එකම දෙය, කණ්ඩායමකට පමණි
./multiotp.php -config ldap-group-attribute="memberOf"
පරිශීලකයෙකු කණ්ඩායමකට අයත් වේද යන්න තීරණය කිරීම සඳහා ක්රමයක් නියම කරයි
./multiotp.php -config ldap-ssl=1
මම LDAP සේවාදායකයට ආරක්ෂිත සම්බන්ධතාවයක් භාවිතා කළ යුතුද (ඇත්ත වශයෙන්ම - ඔව්!)
./multiotp.php -config ldap-port=636
LDAP සේවාදායකයට සම්බන්ධ වීමට වරාය
./multiotp.php -config ldap-domain-controllers=adSRV.domain.local
ඔබගේ සක්රීය නාමාවලි සේවාදායක ලිපිනය
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"
වසම තුළ පරිශීලකයින් සෙවීම ආරම්භ කළ යුත්තේ කොතැනින්දැයි අපි සඳහන් කරමු
./multiotp.php -config ldap-bind-dn="[email protected]"
Active Directory හි සෙවුම් හිමිකම් ඇති පරිශීලකයෙකු සඳහන් කරන්න
./multiotp.php -config ldap-server-password="MySuperPassword"
Active Directory වෙත සම්බන්ධ වීමට පරිශීලක මුරපදය සඳහන් කරන්න
./multiotp.php -config ldap-network-timeout=10
සක්රීය නාමාවලියට සම්බන්ධ වීමට කල් ඉකුත්වීම සැකසීම
./multiotp.php -config ldap-time-limit=30
අපි පරිශීලක ආයාත මෙහෙයුම සඳහා කාල සීමාවක් නියම කරමු
./multiotp.php -config ldap-activated=1
Active Directory සම්බන්ධතා වින්යාසය සක්රිය කිරීම
./multiotp.php -debug -display-log -ldap-users-sync
අපි සක්රීය නාමාවලියෙන් පරිශීලකයින් ආයාත කරමු
පියවර 3. ටෝකනය සඳහා QR කේතයක් ජනනය කරන්න
මෙහි සෑම දෙයක්ම අතිශයින්ම සරල ය. බ්රවුසරයේ OTP සේවාදායකයේ වෙබ් අතුරු මුහුණත විවෘත කරන්න, ලොග් වන්න (පරිපාලක සඳහා පෙරනිමි මුරපදය වෙනස් කිරීමට අමතක නොකරන්න!), සහ "මුද්රණය" බොත්තම ක්ලික් කරන්න:
මෙම ක්රියාවෙහි ප්රතිඵලය වනු ඇත්තේ QR කේත දෙකක් අඩංගු පිටුවකි. අපි ඒවායින් පළමුවැන්න නිර්භීතව නොසලකා හරිමු (ආකර්ශනීය සෙල්ලිපිය ගූගල් සත්යාපකය / සත්යාපකය / 2 පියවර සත්යාපනය තිබියදීත්), නැවතත් අපි දෙවන කේතය දුරකථනයේ මෘදුකාංග ටෝකනයකට පරිලෝකනය කරමු:
(ඔව්, මම හිතාමතාම QR කේතය කියවිය නොහැකි ලෙස නරක් කළා).
මෙම ක්රියාවන් සම්පූර්ණ කිරීමෙන් පසු, සෑම තත්පර තිහකට වරක් ඔබේ යෙදුමේ ඉලක්කම් හයේ මුරපදයක් ජනනය වීමට පටන් ගනී.
නිසැකවම, ඔබට එය එකම අතුරු මුහුණතෙහි පරීක්ෂා කළ හැකිය:
ඔබගේ දුරකථනයේ ඇති යෙදුමෙන් ඔබගේ පරිශීලක නාමය සහ එක් වර මුරපදය ඇතුළත් කිරීමෙන්. ඔබට ධනාත්මක ප්රතිචාරයක් ලැබුණාද? එහෙනම් අපි ඉදිරියට යමු.
පියවර 4. FreeRADIUS මෙහෙයුමේ අතිරේක වින්යාස කිරීම සහ පරීක්ෂා කිරීම
මා ඉහත සඳහන් කළ පරිදි, FreeRADIUS සමඟ වැඩ කිරීමට multiOTP දැනටමත් වින්යාස කර ඇත, ඉතිරිව ඇත්තේ පරීක්ෂණ ක්රියාත්මක කිරීම සහ FreeRADIUS වින්යාස ගොනුවට අපගේ VPN ද්වාරය පිළිබඳ තොරතුරු එක් කිරීම පමණි.
අපි නැවත සේවාදායක කොන්සෝලය වෙත, නාමාවලිය වෙත /usr/local/bin/multiotp/, ඇතුලත් කරන්න:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1
වඩාත් සවිස්තරාත්මක ලොග් කිරීම ඇතුළුව.
FreeRADIUS සේවාලාභීන්ගේ වින්යාස ගොනුවේ (/etc/freeradius/clinets.conf) සම්බන්ධ සියලුම රේඛා අදහස් දක්වන්න දේශීයව සහ ඇතුළත් කිරීම් දෙකක් එකතු කරන්න:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}
- පරීක්ෂණය සඳහා
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}
- අපගේ VPN ද්වාරය සඳහා.
FreeRADIUS නැවත ආරම්භ කර ලොග් වීමට උත්සාහ කරන්න:
radtest username 100110 localhost 1812 testing321
එහිදී පරිශීලක නාමය = පරිශීලක නාමය, 100110 = දුරකථනයේ යෙදුම මගින් අපට ලබා දී ඇති මුරපදය, දේශීයව = RADIUS සේවාදායක ලිපිනය, 1812 - RADIUS සේවාදායක වරාය, පරීක්ෂා කිරීම - RADIUS සේවාදායක සේවාදායක මුරපදය (අපි වින්යාසයෙහි සඳහන් කර ඇත).
මෙම විධානයේ ප්රතිඵලය ආසන්න වශයෙන් පහත පරිදි ප්රතිදානය වනු ඇත:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20
දැන් අපි පරිශීලකයා සාර්ථකව සත්යාපනය කර ඇති බවට සහතික විය යුතුය. මෙය සිදු කිරීම සඳහා, අපි multiotp හි ලොගය දෙස බලමු:
tail /var/log/multiotp/multiotp.log
අවසාන ප්රවේශය තිබේ නම්:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1
එවිට සියල්ල හොඳින් සිදු වූ අතර අපට සම්පූර්ණ කළ හැකිය
පියවර 5: Cisco ASA වින්යාස කරන්න
අපි දැනටමත් SLL VPN හරහා ප්රවේශය සඳහා වින්යාසගත කණ්ඩායමක් සහ ප්රතිපත්ති ඇති බවට එකඟ වෙමු, ක්රියාකාරී නාමාවලිය සමඟ ඒකාබද්ධව වින්යාස කර ඇති අතර, අපට මෙම පැතිකඩ සඳහා සාධක දෙකක සත්යාපනය එක් කිරීමට අවශ්ය වේ.
1. නව AAA සේවාදායක කණ්ඩායමක් එක් කරන්න:
2. අපගේ බහු OTP සේවාදායකය කණ්ඩායමට එක් කරන්න:
3. අපි සංස්කරණය කරනවා සම්බන්ධතා පැතිකඩ, සක්රීය නාමාවලි සේවාදායක කණ්ඩායම ප්රධාන සත්යාපන සේවාදායකය ලෙස සැකසීම:
4. ටැබ් උසස් -> සත්යාපනය අපි සක්රීය නාමාවලි සේවාදායක කණ්ඩායම ද තෝරා ගනිමු:
5. ටැබ් උසස් -> ද්විතියික සත්යාපනය, බහුOTP සේවාදායකය ලියාපදිංචි කර ඇති සාදන ලද සේවාදායක කණ්ඩායම තෝරන්න. සැසියේ පරිශීලක නාමය ප්රාථමික AAA සේවාදායක කණ්ඩායමෙන් උරුම වූ බව සලකන්න:
සැකසුම් යොදන්න සහ
පියවර 6, එනම් අවසාන එක
SLL VPN සඳහා ද්වි-සාධක සත්යාපනය ක්රියා කරන්නේ දැයි පරීක්ෂා කරමු:
Voila! Cisco AnyConnect VPN සේවාලාභියා හරහා සම්බන්ධ වන විට, ඔබෙන් දෙවන, එක් වරක් මුරපදයක් ඉල්ලා සිටිනු ඇත.
මෙම ලිපිය යමෙකුට උපකාරී වනු ඇතැයි මම බලාපොරොත්තු වෙමි, සහ මෙය භාවිතා කරන්නේ කෙසේද යන්න පිළිබඳව යමෙකුට සිතීමට ආහාරයක් ලබා දෙනු ඇතැයි මම බලාපොරොත්තු වෙමි. නොමිලේ OTP සේවාදායකය, වෙනත් කාර්යයන් සඳහා. ඔබට අවශ්ය නම් අදහස් දැක්වීමේදී බෙදා ගන්න.
මූලාශ්රය: www.habr.com