Tlhokahalo ea ho fana ka phihlello e hole ho tikoloho ea likhoebo e ntse e hlaha khafetsa, ho sa tsotelehe hore na ke basebelisi ba hau kapa balekane ba hau ba hlokang ho fihlella seva e itseng mokhatlong oa hau.
Bakeng sa merero ena, lik'hamphani tse ngata li sebelisa theknoloji ea VPN, e ipakileng e le mokhoa o sireletsehileng oa ho fana ka phihlello ea lisebelisoa tsa lehae tsa mokhatlo.
Khamphani ea ka e ne e se mokhelo, 'me rona, joalo ka ba bang ba bangata, re sebelisa theknoloji ena. 'Me, joalo ka ba bang ba bangata, re sebelisa Cisco ASA 55xx e le tsela ea ho kena hole.
Ha palo ea basebelisi ba hole e ntse e eketseha, ho hlokahala hore ho nolofatsoe mokhoa oa ho fana ka mangolo a bopaki. Empa ka nako e ts'oanang, sena se tlameha ho etsoa ntle le ho senya polokeho.
Ho rona, re fumane tharollo ka ho sebelisa netefatso ea lintlha tse peli bakeng sa ho hokahanya ka Cisco SSL VPN, re sebelisa li-password tsa nako e le 'ngoe. 'Me sengoliloeng sena se tla u bolella mokhoa oa ho hlophisa tharollo e joalo ka nako e fokolang le litšenyehelo tse fokolang bakeng sa software e hlokahalang (hafeela u se u ntse u e-na le Cisco ASA mohahong oa hau oa motheo).
'Maraka o tletse litharollo tsa mabokose a ho hlahisa li-password tsa nako e le' ngoe, ha o ntse o fana ka likhetho tse ngata tsa ho li fumana, ekaba ho romella phasewete ka SMS kapa ho sebelisa li-tokens, lisebelisoa le software (mohlala, ka mohala oa thekeng). Empa takatso ea ho boloka chelete le takatso ea ho boloka chelete bakeng sa mohiri oa ka, bothateng ba hona joale, e ile ea nqobella hore ke fumane mokhoa oa mahala oa ho kenya ts'ebetsong tšebeletso ea ho hlahisa li-passwords tsa nako e le 'ngoe. Eo, ha e ntse e lokolohile, ha e tlaase haholo ho litharollo tsa khoebo (mona re lokela ho etsa pehelo, re hlokomele hore sehlahisoa sena se boetse se na le phetolelo ea khoebo, empa re lumellane hore litšenyehelo tsa rona, ka chelete, e tla ba zero).
Kahoo, re tla hloka:
- Setšoantšo sa Linux se nang le lisebelisoa tse hahelletsoeng - multiOTP, FreeRADIUS le nginx, bakeng sa ho fihlella seva ka marang-rang (http://download.multiotp.net/ - Ke sebelisitse setšoantšo se seng se entsoe bakeng sa VMware)
- Seva e sebetsang ea Directory
- Cisco ASA ka boeona (bakeng sa boiketlo, ke sebelisa ASDM)
- Letšoao lefe kapa lefe la software le tšehetsang mochini oa TOTP (ka mohlala, ke sebelisa Google Authenticator, empa FreeOTP e tla etsa joalo)
Nke ke ka kena lintlheng tsa hore na setšoantšo se etsahala joang. Ka lebaka leo, u tla fumana Debian Linux e nang le multiOTP le FreeRADIUS e seng e kentsoe, e lokiselitsoe ho sebetsa 'moho, le sebopeho sa webo bakeng sa tsamaiso ea OTP.
Mohato oa 1. Re qala tsamaiso mme re e lokisetsa marang-rang a hau
Ka ho sa feleng, sistimi e tla le lintlha tsa motso. Ke nahana hore motho e mong le e mong o ile a hakanya hore e ka ba mohopolo o motle ho fetola senotlolo sa mosebelisi kamora ho kena ha pele. U boetse u hloka ho fetola litlhophiso tsa marang-rang (ka kamehla ke '192.168.1.44' le heke '192.168.1.1'). Ka mor'a moo, o ka qala sistimi hape.
Ha re theheng mosebelisi ho Active Directory otp, ka password MySuperPassword.
Mohato oa 2. Hlophisa khokahano 'me u kenye basebedisi ba Active Directory
Ho etsa sena, re hloka ho fihlella console, le ka ho toba faeleng multiotp.php, eo ka eona re tla hlophisa litlhophiso tsa khokahano ho Active Directory.
Eya ho directory /usr/local/bin/multiotp/ 'me u phethe litaelo tse latelang ka ho latellana:
./multiotp.php -config default-request-prefix-pin=0E etsa qeto ea hore na phini ea tlatsetso (ea sa feleng) ea hlokahala ha u kenya phini ea nako e le 'ngoe (0 kapa 1)
./multiotp.php -config default-request-ldap-pwd=0E etsa qeto ea hore na password ea domain ea hlokahala ha u kenya phini ea nako e le 'ngoe (0 kapa 1)
./multiotp.php -config ldap-server-type=1Mofuta oa seva ea LDAP o bontšitsoe (0 = seva sa kamehla sa LDAP, molemong oa rona 1 = Bukana e sebetsang)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"E hlalosa mokhoa oa ho hlahisa lebitso la mosebelisi (boleng bona bo tla hlahisa lebitso feela, ntle le domain name)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"Ntho e tshwanang, bakeng sa sehlopha feela
./multiotp.php -config ldap-group-attribute="memberOf"E hlalosa mokhoa oa ho tseba hore na mosebelisi ke karolo ea sehlopha
./multiotp.php -config ldap-ssl=1Na ke lokela ho sebelisa khokahano e sireletsehileng ho seva sa LDAP (ehlile - e!)
./multiotp.php -config ldap-port=636Boema-kepe bakeng sa ho hokela ho seva ea LDAP
./multiotp.php -config ldap-domain-controllers=adSRV.domain.localAterese ea hau ea Active Directory seva
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"Re bonts'a moo re ka qalang ho batla basebelisi sebakeng seo
./multiotp.php -config ldap-bind-dn="[email protected]"Hlalosa mosebelisi ea nang le litokelo tsa ho batla ho Active Directory
./multiotp.php -config ldap-server-password="MySuperPassword"Hlalosa phasewete ea mosebelisi ho hokela ho Active Directory
./multiotp.php -config ldap-network-timeout=10Ho beha nako ea ho tsoa bakeng sa ho hokela ho Active Directory
./multiotp.php -config ldap-time-limit=30Re beha moeli oa nako bakeng sa ts'ebetso ea ho reka kantle ho naha
./multiotp.php -config ldap-activated=1Ho kenya tshebetsong tlhophiso ya kgokelo ya Active Directory
./multiotp.php -debug -display-log -ldap-users-syncRe kenya basebelisi ho tsoa ho Active Directory
Mohato oa 3. Hlahisa khoutu ea QR bakeng sa letšoao
Tsohle mona li bonolo haholo. Bula sebopeho sa marang-rang sa seva sa OTP ho sebatli, kena (u se ke oa lebala ho fetola password ea kamehla bakeng sa admin!), ebe o tobetsa konopo ea "Printa":
Sephetho sa ketso ena e tla ba leqephe le nang le likhoutu tse peli tsa QR. Ka sebete re hlokomoloha ea pele ea bona (ho sa tsotellehe mongolo o motle oa Google Authenticator / Authenticator / 2 Steps Authenticator), 'me hape ka sebete re hlahloba khoutu ea bobeli ho letšoao la software fonong:
(e, ke sentse khoutu ea QR ka boomo ho etsa hore e se balehe).
Kamora ho qeta liketso tsena, password ea linomoro tse ts'eletseng e tla qala ho hlahisoa ts'ebelisong ea hau kamora metsotsoana e meng le e meng e mashome a mararo.
Ho netefatsa, o ka e sheba ka har'a sehokelo se tšoanang:
Ka ho kenya lebitso la hau la mosebelisi le phasewete ea nako e le 'ngoe ho tsoa ho sesebelisoa fonong ea hau. Na u fumane karabelo e ntle? Kahoo re tsoela pele.
Mohato oa 4. Tlhophiso e eketsehileng le tlhahlobo ea ts'ebetso ea FreeRADIUS
Joalokaha ke boletse kaholimo, multiOTP e se e lokiselitsoe ho sebetsa le FreeRADIUS, se setseng ke ho etsa liteko le ho eketsa tlhahisoleseling mabapi le heke ea rona ea VPN ho faele ea tlhophiso ea FreeRADIUS.
Re khutlela ho server console, ho directory /usr/local/bin/multiotp/, kenya:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1Ho kenyeletsoa le ho rema lifate ka botlalo.
Ho faele ea tlhophiso ea bareki ba FreeRADIUS (/etc/freeradius/clinets.conf) hlahisa maikutlo meleng eohle e amanang le Localhost 'me u kenye lintlha tse peli:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}- bakeng sa teko
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}- bakeng sa heke ea rona ea VPN.
Qala hape FreeRADIUS 'me u leke ho kena:
radtest username 100110 localhost 1812 testing321moo mosebedisi = lebitso la mosebedisi, 100110 = phasewete eo re e filoeng ke ts'ebeliso ea mohala, Localhost = aterese ea seva ea RADIUS, 1812 - boema-kepe ba seva sa RADIUS, test321 - password ea moreki oa seva ea RADIUS (eo re e boletseng ho tlhophiso).
Sephetho sa taelo ena se tla hlahisoa hoo e ka bang ka tsela e latelang:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20Joale re hloka ho etsa bonnete ba hore mosebelisi o netefalitsoe ka katleho. Ho etsa sena, re tla sheba log ea multiotp ka boeona:
tail /var/log/multiotp/multiotp.log'Me haeba keno ea ho qetela e teng:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1Joale tsohle li ile tsa tsamaea hantle 'me re ka phetha
Mohato oa 5: Lokisa Cisco ASA
Ha re lumellaneng hore re se re ntse re e-na le sehlopha se hlophisitsoeng le maano a ho fihlella ka SLL VPN, e hlophisitsoeng hammoho le Active Directory, 'me re hloka ho kenya bopaki ba lintlha tse peli bakeng sa boemo bona.
1. Kenya sehlopha se secha sa seva sa AAA:
2. Kenya seva ea rona ea multiOTP sehlopheng:
3. Rea fetola boemo ba khokahano, ho beha sehlopha sa seva sa Active Directory e le seva sa mantlha sa netefatso:
4. Tabeng E tsoetseng pele -> Netefatso Re boetse re khetha sehlopha sa seva sa Active Directory:
5. Tabeng E tsoetseng pele -> Ea bobeli netefatso, khetha sehlopha sa li-server tse entsoeng moo seva sa multiOTP se ngolisitsoeng ho sona. Hlokomela hore lebitso la mosebelisi la Session le futsitsoe ho tsoa ho sehlopha sa mantlha sa seva sa AAA:
Sebelisa li-setting le
Mohato oa 6, e leng oa ho qetela
Ha re hlahlobeng hore na netefatso ea lintlha tse peli e sebetsa bakeng sa SLL VPN:
Bona! Ha o hokela ka Cisco AnyConnect VPN Client, o tla botsoa hape phasewete ea bobeli, ea nako e le 'ngoe.
Ke tšepa hore sengoloa sena se tla thusa motho e mong, le hore se tla fa motho maikutlo a hore na a ka sebelisa sena joang, mahala Seva ea OTP, bakeng sa mesebetsi e meng. Arolelana maikutlong haeba u lakatsa.
Source: www.habr.com