இரண்டு காரணி அங்கீகாரம் விரும்பத்தக்கது மற்றும் முட்கள் நிறைந்ததாக இருந்தால் என்ன செய்வது, ஆனால் வன்பொருள் டோக்கன்களுக்கு பணம் இல்லை, பொதுவாக அவை நல்ல மனநிலையில் இருக்க முன்வருகின்றன.
இந்த தீர்வு மிகவும் அசல் ஒன்று அல்ல, மாறாக இணையத்தில் காணப்படும் பல்வேறு தீர்வுகளின் கலவையாகும்.
எனவே வழங்கப்பட்டது
Домен செயலில் உள்ள அடைவு.
இன்றைய பலரைப் போலவே VPN மூலம் பணிபுரியும் டொமைன் பயனர்கள்.
VPN நுழைவாயிலாக செயல்படுகிறது வலுப்படுத்த.
VPN கிளையண்டிற்கான கடவுச்சொல்லைச் சேமிப்பது பாதுகாப்புக் கொள்கையால் தடைசெய்யப்பட்டுள்ளது.
அரசியல் Fortinet உங்கள் சொந்த டோக்கன்கள் தொடர்பாக, நீங்கள் அதை ஒரு zhlob ஐ விட குறைவாக அழைக்க முடியாது - 10 இலவச டோக்கன்கள் உள்ளன, மீதமுள்ளவை - மிகவும் கோஷர் அல்லாத விலையில். நான் RSASecureID, Duo போன்றவற்றைக் கருத்தில் கொள்ளவில்லை, ஏனெனில் எனக்கு ஓப்பன் சோர்ஸ் வேண்டும்.
முன்நிபந்தனைகள்: ஹோஸ்ட் * நிக்ஸ் நிறுவப்பட்டது ஃப்ரீரேடியஸ், ssd - டொமைனுக்குள் நுழைந்தது, டொமைன் பயனர்கள் அதை எளிதாக அங்கீகரிக்க முடியும்.
கூடுதல் தொகுப்புகள்: ஷெல்லினா பெட்டி, அத்திப்பழம், freeradius-ldap, எழுத்துரு rebel.tlf களஞ்சியத்தில் இருந்து
எனது எடுத்துக்காட்டில் - CentOS 7.8.
பணியின் தர்க்கம் பின்வருமாறு இருக்க வேண்டும்: VPN உடன் இணைக்கும்போது, பயனர் கடவுச்சொல்லுக்குப் பதிலாக டொமைன் உள்நுழைவு மற்றும் OTP ஐ உள்ளிட வேண்டும்.
சேவைகள் அமைப்பு
В /etc/raddb/radiusd.conf பயனர் மற்றும் குழு சார்பாக மட்டுமே தொடங்கும் ஃப்ரீரேடியஸ், சேவை இருந்து ஆரம் அனைத்து துணை அடைவுகளிலும் உள்ள கோப்புகளைப் படிக்க முடியும் / வீட்டில் /.
user = root
group = root
அமைப்புகளில் குழுக்களைப் பயன்படுத்த முடியும் வலுப்படுத்த, கடத்தப்பட வேண்டும் விற்பனையாளர் குறிப்பிட்ட பண்பு. இதைச் செய்ய, கோப்பகத்தில் raddb/policy.d நான் பின்வரும் உள்ளடக்கத்துடன் ஒரு கோப்பை உருவாக்குகிறேன்:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
நிறுவிய பின் freeradius-ldap அடைவில் raddb/mods-கிடைக்கிறது கோப்பு உருவாக்கப்பட்டது LDAP.
கோப்பகத்திற்கு ஒரு குறியீட்டு இணைப்பை உருவாக்க வேண்டும் raddb/mods-இயக்கப்பட்டது.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
அதன் உள்ளடக்கங்களை இந்தப் படிவத்தில் கொண்டு வருகிறேன்:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
கோப்புகளில் raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel பிரிவில் அங்கீகரிக்க நான் பயன்படுத்த வேண்டிய கொள்கையின் பெயரைச் சேர்க்கிறேன் - group_authorization. ஒரு முக்கியமான விஷயம் - கோப்பகத்தில் உள்ள கோப்பின் பெயரால் கொள்கையின் பெயர் தீர்மானிக்கப்படவில்லை கொள்கை.டி, ஆனால் சுருள் பிரேஸ்களுக்கு முன் கோப்பிற்குள் ஒரு உத்தரவு மூலம்.
பிரிவில் அங்கீகரிக்க அதே கோப்புகளில் நீங்கள் வரியின் கருத்தை நீக்க வேண்டும் Pam.
கோப்பில் வாடிக்கையாளர்கள்.conf அதை இணைக்கும் அளவுருக்களை பரிந்துரைக்கவும் வலுப்படுத்த:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
தொகுதி உள்ளமைவு pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
இயல்புநிலை தொகுப்பு செயல்படுத்தல் விருப்பங்கள் ஃப்ரீரேடியஸ் с Google Authenticator பயனர் நற்சான்றிதழ்களை வடிவமைப்பில் உள்ளிட வேண்டும்: பயனாளர் பெயர் கடவுச்சொல்+சிவகாசி.
முன்னிருப்பு மூட்டையைப் பயன்படுத்தும் விஷயத்தில், தலையில் விழும் சாபங்களின் எண்ணிக்கையை கற்பனை செய்து ஃப்ரீரேடியஸ் с Google Authenticator, தொகுதி உள்ளமைவைப் பயன்படுத்த முடிவு செய்யப்பட்டது Pam அதனால் டோக்கனை மட்டுமே சரிபார்க்க முடியும் Google Authenticator.
ஒரு பயனர் இணைக்கும்போது, பின்வருபவை நடக்கும்:
- ஃப்ரீரேடியஸ் பயனர் டொமைனில் உள்ளாரா மற்றும் ஒரு குறிப்பிட்ட குழுவில் உள்ளாரா என்பதைச் சரிபார்த்து, வெற்றி பெற்றால், OTP டோக்கனைச் சரிபார்க்கிறது.
"300+ பயனர்களுக்கு OTP ஐ எவ்வாறு பதிவு செய்வது?" என்று நான் நினைத்த தருணம் வரை எல்லாம் நன்றாகவே இருந்தது.
பயனர் சர்வரில் உள்நுழைய வேண்டும் ஃப்ரீரேடியஸ் மற்றும் உங்கள் கணக்கின் கீழ் இருந்து பயன்பாட்டை இயக்கவும் கூகுள் அங்கீகாரம், இது பயனருக்கான பயன்பாட்டிற்கான QR குறியீட்டை உருவாக்கும். இங்குதான் உதவி வருகிறது. ஷெல்லினா பெட்டி உடன் இணைந்து .பாஷ்_ சுயவிவரம்.
[root@freeradius ~]# yum install -y shellinabox
டீமான் கட்டமைப்பு கோப்பு அமைந்துள்ளது /etc/sysconfig/shellinabox.
நான் அங்கு போர்ட் 443 ஐக் குறிப்பிடுகிறேன், உங்கள் சான்றிதழை நீங்கள் குறிப்பிடலாம்.
[root@freeradius ~]#systemctl enable --now shellinaboxd
பயனர் இணைப்பைப் பின்தொடர வேண்டும், டொமைன் வரவுகளை உள்ளிட்டு, பயன்பாட்டிற்கான QR குறியீட்டைப் பெற வேண்டும்.
வழிமுறை பின்வருமாறு:
- பயனர் உலாவி மூலம் இயந்திரத்தில் உள்நுழைகிறார்.
- டொமைன் பயனர் சரிபார்க்கப்பட்டாரா. இல்லை என்றால் எந்த நடவடிக்கையும் எடுப்பதில்லை.
- பயனர் டொமைன் பயனராக இருந்தால், நிர்வாகிகள் குழுவில் உள்ள உறுப்பினர் சரிபார்க்கப்படும்.
- நிர்வாகி இல்லையென்றால், Google அங்கீகரிப்பு உள்ளமைக்கப்பட்டதா என்பதைச் சரிபார்க்கும். இல்லையெனில், QR குறியீடு மற்றும் பயனர் வெளியேறுதல் உருவாக்கப்படும்.
- நிர்வாகி மற்றும் Google அங்கீகரிப்பு உள்ளமைக்கப்படவில்லை எனில், வெளியேறவும்.
- நிர்வாகி என்றால், மீண்டும் Google அங்கீகரிப்பைச் சரிபார்க்கவும். கட்டமைக்கப்படவில்லை என்றால், QR குறியீடு உருவாக்கப்படும்.
அனைத்து தர்க்கமும் பயன்படுத்தி செய்யப்படுகிறது /etc/skel/.bash_profile.
cat /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
வலுவூட்டு அமைப்பு:
- நாங்கள் உருவாக்குகிறோம் ஆரம்- சர்வர்
- நாங்கள் தேவையான குழுக்களை உருவாக்குகிறோம், தேவைப்பட்டால், குழுக்களின் அணுகல் கட்டுப்பாடு. குழுவின் பெயர் இயக்கப்பட்டது வலுப்படுத்த அனுப்பப்பட்ட குழுவுடன் பொருந்த வேண்டும் விற்பனையாளர் குறிப்பிட்ட பண்பு ஃபோர்டினெட்-குரூப்-பெயர்.
- தேவையான திருத்தம் SSL ஐ- போர்ட்டல்கள்.
- கொள்கைகளில் குழுக்களைச் சேர்த்தல்.
இந்த தீர்வின் நன்மைகள்:
- OTP மூலம் அங்கீகரிக்க முடியும் வலுப்படுத்த திறந்த மூல தீர்வு.
- VPN வழியாக இணைக்கும்போது பயனர் டொமைன் கடவுச்சொல்லை உள்ளிடுவதில்லை, இது இணைப்பு செயல்முறையை ஓரளவு எளிதாக்குகிறது. பாதுகாப்புக் கொள்கையால் வழங்கப்பட்ட கடவுச்சொல்லை விட 6 இலக்க கடவுச்சொல்லை உள்ளிடுவது எளிது. இதன் விளைவாக, "என்னால் VPN உடன் இணைக்க முடியவில்லை" என்ற தலைப்புடன் கூடிய டிக்கெட்டுகளின் எண்ணிக்கை குறைகிறது.
PS இந்த தீர்வை சவால்-பதில்களுடன் முழு அளவிலான இரு காரணி அங்கீகாரத்திற்கு மேம்படுத்த திட்டமிட்டுள்ளோம்.
மேம்படுத்தல்:
வாக்குறுதியளித்தபடி, நான் அதை சவால்-பதில் விருப்பத்திற்கு மாற்றியமைத்தேன்.
எனவே:
கோப்பில் /etc/raddb/sites-enabled/default பிரிவு அங்கீகரிக்க இது போல் தெரிகிறது:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
பிரிவு அங்கீகரிக்க இப்போது இது போல் தெரிகிறது:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
இப்போது பயனர் சரிபார்ப்பு பின்வரும் வழிமுறையின்படி நிகழ்கிறது:
- VPN கிளையண்டில் பயனர் டொமைன் வரவுகளை உள்ளிடுகிறார்.
- ஃப்ரீரேடியஸ் கணக்கு மற்றும் கடவுச்சொல்லின் செல்லுபடியை சரிபார்க்கிறது
- கடவுச்சொல் சரியாக இருந்தால், டோக்கனுக்கான கோரிக்கை அனுப்பப்படும்.
- டோக்கன் சரிபார்க்கப்பட்டு வருகிறது.
- லாபம்).
ஆதாரம்: www.habr.com