புரோஹோஸ்டர் > Блог > நிர்வாகம் > 2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)

உங்கள் நிறுவனத்தில் உள்ள குறிப்பிட்ட சேவையகத்தை அணுக வேண்டிய உங்கள் பயனர்கள் அல்லது கூட்டாளர்களாக இருந்தாலும், கார்ப்பரேட் சூழலுக்கு தொலைநிலை அணுகலை வழங்க வேண்டிய அவசியம் அடிக்கடி எழுகிறது.

இந்த நோக்கங்களுக்காக, பெரும்பாலான நிறுவனங்கள் VPN தொழில்நுட்பத்தைப் பயன்படுத்துகின்றன, இது நிறுவனத்தின் உள்ளூர் வளங்களுக்கான அணுகலை வழங்குவதற்கான நம்பகமான பாதுகாக்கப்பட்ட வழியாக தன்னை நிரூபித்துள்ளது.

எனது நிறுவனம் விதிவிலக்கல்ல, மேலும் பலரைப் போலவே நாமும் இந்த தொழில்நுட்பத்தைப் பயன்படுத்துகிறோம். மேலும், பலரைப் போலவே, நாங்கள் Cisco ASA 55xxஐ தொலைநிலை அணுகல் நுழைவாயிலாகப் பயன்படுத்துகிறோம்.

தொலைதூர பயனர்களின் எண்ணிக்கை அதிகரித்து வருவதால், நற்சான்றிதழ்களை வழங்குவதற்கான நடைமுறையை எளிமைப்படுத்த வேண்டிய அவசியம் உள்ளது. ஆனால் அதே நேரத்தில், இது பாதுகாப்பை சமரசம் செய்யாமல் செய்யப்பட வேண்டும்.

நமக்காக, ஒரு முறை கடவுச்சொற்களைப் பயன்படுத்தி, சிஸ்கோ SSL VPN வழியாக இணைக்க இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்துவதில் ஒரு தீர்வைக் கண்டறிந்துள்ளோம். தேவையான மென்பொருளுக்கு (உங்கள் உள்கட்டமைப்பில் ஏற்கனவே சிஸ்கோ ஏஎஸ்ஏ இருந்தால்) குறைந்த நேரம் மற்றும் பூஜ்ஜிய செலவில் அத்தகைய தீர்வை எவ்வாறு ஒழுங்கமைப்பது என்பதை இந்த வெளியீடு உங்களுக்குச் சொல்லும்.

ஒரு முறை கடவுச்சொற்களை உருவாக்குவதற்கான பெட்டி தீர்வுகளால் சந்தை நிரம்பியுள்ளது, அதே நேரத்தில் அவற்றைப் பெறுவதற்கான பல விருப்பங்களை வழங்குகிறது, அது கடவுச்சொல்லை SMS வழியாக அனுப்புவது அல்லது டோக்கன்களைப் பயன்படுத்துவது, வன்பொருள் மற்றும் மென்பொருள் (உதாரணமாக, மொபைல் ஃபோனில்). ஆனால் பணத்தைச் சேமிப்பதற்கான ஆசை மற்றும் எனது முதலாளிக்கு பணத்தைச் சேமிக்கும் ஆசை, தற்போதைய நெருக்கடியில், ஒரு முறை கடவுச்சொற்களை உருவாக்குவதற்கான சேவையை செயல்படுத்த இலவச வழியைக் கண்டுபிடிக்க என்னை கட்டாயப்படுத்தியது. இது இலவசம் என்றாலும், வணிக தீர்வுகளை விட மிகவும் தாழ்ந்ததாக இல்லை (இங்கே நாம் முன்பதிவு செய்ய வேண்டும், இந்த தயாரிப்பு ஒரு வணிக பதிப்பையும் கொண்டுள்ளது, ஆனால் எங்கள் செலவுகள் பணத்தில் பூஜ்ஜியமாக இருக்கும் என்பதை நாங்கள் ஒப்புக்கொண்டோம்).

எனவே, நமக்கு வேண்டியது:

- மல்டிஓடிபி, ஃப்ரீரேடியஸ் மற்றும் என்ஜிஎன்எக்ஸ் கருவிகளின் உள்ளமைக்கப்பட்ட தொகுப்பைக் கொண்ட லினக்ஸ் படம், இணையம் வழியாக சேவையகத்தை அணுகுவதற்கு (http://download.multiotp.net/ - நான் VMware க்காக ஆயத்தப் படத்தைப் பயன்படுத்தினேன்)
- செயலில் உள்ள அடைவு சேவையகம்
— Cisco ASA தானே (வசதிக்காக, நான் ASDM ஐப் பயன்படுத்துகிறேன்)
— TOTP பொறிமுறையை ஆதரிக்கும் எந்த மென்பொருள் டோக்கனும் (உதாரணமாக, நான் Google அங்கீகரிப்பைப் பயன்படுத்துகிறேன், ஆனால் அதே FreeOTP செய்யும்)

படம் எப்படி வெளிவருகிறது என்ற விவரங்களுக்கு நான் செல்லமாட்டேன். இதன் விளைவாக, நீங்கள் ஏற்கனவே நிறுவப்பட்ட மல்டிஓடிபி மற்றும் ஃப்ரீரேடியஸ் உடன் டெபியன் லினக்ஸைப் பெறுவீர்கள், ஒன்றாக வேலை செய்ய உள்ளமைக்கப்பட்டுள்ளது மற்றும் OTP நிர்வாகத்திற்கான இணைய இடைமுகம்.

படி 1. நாங்கள் கணினியைத் தொடங்கி, உங்கள் நெட்வொர்க்கிற்கு அதை உள்ளமைக்கிறோம்
முன்னிருப்பாக, கணினி ரூட் சான்றுகளுடன் வருகிறது. முதல் உள்நுழைவுக்குப் பிறகு ரூட் பயனர் கடவுச்சொல்லை மாற்றுவது நல்லது என்று எல்லோரும் யூகித்ததாக நினைக்கிறேன். நீங்கள் பிணைய அமைப்புகளையும் மாற்ற வேண்டும் (இயல்புநிலையாக '192.168.1.44' நுழைவாயில் '192.168.1.1' ஆகும்). அதன் பிறகு, நீங்கள் கணினியை மறுதொடக்கம் செய்யலாம்.

செயலில் உள்ள கோப்பகத்தில் ஒரு பயனரை உருவாக்குவோம் OTP, கடவுச்சொல்லுடன் MySuperPassword.

படி 2. இணைப்பை அமைத்து, ஆக்டிவ் டைரக்டரி பயனர்களை இறக்குமதி செய்யவும்
இதைச் செய்ய, கன்சோலுக்கான அணுகல் மற்றும் நேரடியாக கோப்பிற்கு அணுகல் தேவை multiotp.php, இதைப் பயன்படுத்தி இணைப்பு அமைப்புகளை செயலில் உள்ள கோப்பகத்திற்கு உள்ளமைப்போம்.

கோப்பகத்திற்குச் செல்லவும் /usr/local/bin/multiotp/ மேலும் பின்வரும் கட்டளைகளை இயக்கவும்:

./multiotp.php -config default-request-prefix-pin=0

ஒரு முறை பின்னை (0 அல்லது 1) உள்ளிடும்போது கூடுதல் (நிரந்தர) பின் தேவையா என்பதைத் தீர்மானிக்கிறது

./multiotp.php -config default-request-ldap-pwd=0

ஒரு முறை பின்னை (0 அல்லது 1) உள்ளிடும்போது டொமைன் கடவுச்சொல் தேவையா என்பதைத் தீர்மானிக்கிறது

./multiotp.php -config ldap-server-type=1

LDAP சேவையகத்தின் வகை குறிப்பிடப்பட்டுள்ளது (0 = வழக்கமான LDAP சேவையகம், எங்கள் விஷயத்தில் 1 = செயலில் உள்ள அடைவு)

./multiotp.php -config ldap-cn-identifier="sAMAccountName"

பயனர்பெயரை வழங்குவதற்கான வடிவமைப்பைக் குறிப்பிடுகிறது (இந்த மதிப்பு டொமைன் இல்லாமல் பெயரை மட்டுமே காண்பிக்கும்)

./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"

அதே விஷயம், ஒரு குழுவிற்கு மட்டுமே

./multiotp.php -config ldap-group-attribute="memberOf"

ஒரு பயனர் குழுவைச் சேர்ந்தவர் என்பதைத் தீர்மானிக்கும் முறையைக் குறிப்பிடுகிறது

./multiotp.php -config ldap-ssl=1

நான் LDAP சேவையகத்துடன் பாதுகாப்பான இணைப்பைப் பயன்படுத்த வேண்டுமா (நிச்சயமாக - ஆம்!)

./multiotp.php -config ldap-port=636

LDAP சேவையகத்துடன் இணைப்பதற்கான போர்ட்

./multiotp.php -config ldap-domain-controllers=adSRV.domain.local

உங்கள் ஆக்டிவ் டைரக்டரி சர்வர் முகவரி

./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"

டொமைனில் உள்ள பயனர்களை எங்கு தேடுவது என்பதை நாங்கள் குறிப்பிடுகிறோம்

./multiotp.php -config ldap-bind-dn="[email protected]"

செயலில் உள்ள கோப்பகத்தில் தேடல் உரிமைகள் உள்ள பயனரைக் குறிப்பிடவும்

./multiotp.php -config ldap-server-password="MySuperPassword"

செயலில் உள்ள கோப்பகத்துடன் இணைக்க பயனர் கடவுச்சொல்லை குறிப்பிடவும்

./multiotp.php -config ldap-network-timeout=10

செயலில் உள்ள கோப்பகத்துடன் இணைப்பதற்கான காலக்கெடுவை அமைத்தல்

./multiotp.php -config ldap-time-limit=30

பயனர் இறக்குமதி செயல்பாட்டிற்கான கால வரம்பை நாங்கள் அமைத்துள்ளோம்

./multiotp.php -config ldap-activated=1

ஆக்டிவ் டைரக்டரி இணைப்பு உள்ளமைவை செயல்படுத்துகிறது

./multiotp.php -debug -display-log -ldap-users-sync

ஆக்டிவ் டைரக்டரியிலிருந்து பயனர்களை இறக்குமதி செய்கிறோம்

படி 3. டோக்கனுக்கான QR குறியீட்டை உருவாக்கவும்
இங்கே எல்லாம் மிகவும் எளிமையானது. உலாவியில் OTP சேவையகத்தின் இணைய இடைமுகத்தைத் திறந்து, உள்நுழைக (நிர்வாகிக்கான இயல்புநிலை கடவுச்சொல்லை மாற்ற மறக்காதீர்கள்!), "அச்சிடு" பொத்தானைக் கிளிக் செய்யவும்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
இந்தச் செயலின் விளைவாக இரண்டு QR குறியீடுகளைக் கொண்ட பக்கமாக இருக்கும். அவற்றில் முதன்மையானதை நாங்கள் தைரியமாக புறக்கணிக்கிறோம் (கவர்ச்சிகரமான கல்வெட்டு Google அங்கீகரிப்பு / அங்கீகரிப்பு / 2 படிகள் அங்கீகாரம் இருந்தபோதிலும்), மேலும் இரண்டாவது குறியீட்டை மீண்டும் தைரியமாக தொலைபேசியில் ஒரு மென்பொருள் டோக்கனில் ஸ்கேன் செய்கிறோம்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
(ஆம், நான் வேண்டுமென்றே QR குறியீட்டை படிக்க முடியாதபடி கெடுத்துவிட்டேன்).

இந்த செயல்களை முடித்த பிறகு, ஒவ்வொரு முப்பது வினாடிக்கும் உங்கள் பயன்பாட்டில் ஆறு இலக்க கடவுச்சொல் உருவாக்கத் தொடங்கும்.

நிச்சயமாக, நீங்கள் அதை அதே இடைமுகத்தில் சரிபார்க்கலாம்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
உங்கள் தொலைபேசியில் உள்ள பயன்பாட்டிலிருந்து உங்கள் பயனர்பெயர் மற்றும் ஒரு முறை கடவுச்சொல்லை உள்ளிடுவதன் மூலம். நீங்கள் நேர்மறையான பதிலைப் பெற்றீர்களா? எனவே தொடரலாம்.

படி 4. FreeRADIUS செயல்பாட்டின் கூடுதல் கட்டமைப்பு மற்றும் சோதனை
நான் மேலே குறிப்பிட்டுள்ளபடி, FreeRADIUS உடன் பணிபுரிய multiOTP ஏற்கனவே கட்டமைக்கப்பட்டுள்ளது, எஞ்சியிருப்பது சோதனைகளை இயக்குவது மற்றும் FreeRADIUS உள்ளமைவு கோப்பில் எங்கள் VPN நுழைவாயில் பற்றிய தகவலைச் சேர்ப்பது மட்டுமே.

நாங்கள் சர்வர் கன்சோலுக்கு, கோப்பகத்திற்குத் திரும்புகிறோம் /usr/local/bin/multiotp/, உள்ளிடவும்:

./multiotp.php -config debug=1
./multiotp.php -config display-log=1

மேலும் விரிவான பதிவு உட்பட.

FreeRADIUS கிளையண்டுகள் உள்ளமைவு கோப்பில் (/etc/freeradius/clinets.conf) தொடர்பான அனைத்து வரிகளையும் கருத்து தெரிவிக்கவும் லோக்கல் ஹோஸ்ட் மற்றும் இரண்டு உள்ளீடுகளைச் சேர்க்கவும்:

client localhost {
        ipaddr = 127.0.0.1
        secret          = testing321
        require_message_authenticator = no
}

- சோதனைக்கு

client 192.168.1.254/32 {
        shortname =     CiscoASA
        secret =        ConnectToRADIUSSecret
}

- எங்கள் VPN நுழைவாயிலுக்கு.

FreeRADIUS ஐ மறுதொடக்கம் செய்து உள்நுழைய முயற்சிக்கவும்:

radtest username 100110 localhost 1812 testing321

எங்கே பயனர்பெயர் = பயனர் பெயர், 100110 = தொலைபேசியில் பயன்பாடு மூலம் எங்களுக்கு வழங்கப்பட்ட கடவுச்சொல், லோக்கல் ஹோஸ்ட் = RADIUS சேவையக முகவரி, 1812 - ரேடியஸ் சர்வர் போர்ட், testing321 — RADIUS சர்வர் கிளையன்ட் கடவுச்சொல் (நாம் கட்டமைப்பில் குறிப்பிட்டது).

இந்த கட்டளையின் முடிவு தோராயமாக பின்வருமாறு வெளியிடப்படும்:

Sending Access-Request of id 44 to 127.0.0.1 port 1812
        User-Name = "username"
        User-Password = "100110"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20

இப்போது பயனர் வெற்றிகரமாக அங்கீகரிக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்த வேண்டும். இதைச் செய்ய, multiotp இன் பதிவேட்டைப் பார்ப்போம்:

tail /var/log/multiotp/multiotp.log

கடைசி நுழைவு இருந்தால்:

2016-09-01 08:58:17     notice  username  User    OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17     debug           Debug   Debug: 0 OK: Token accepted from 127.0.0.1

பின்னர் எல்லாம் நன்றாக முடிந்தது, நாங்கள் முடிக்க முடியும்

படி 5: சிஸ்கோ ஏஎஸ்ஏவை உள்ளமைக்கவும்
எங்களிடம் ஏற்கனவே உள்ளமைக்கப்பட்ட குழு மற்றும் SLL VPN வழியாக அணுகுவதற்கான கொள்கைகள் உள்ளன, செயலில் உள்ள கோப்பகத்துடன் இணைந்து கட்டமைக்கப்பட்டுள்ளன, மேலும் இந்த சுயவிவரத்திற்கு இரண்டு காரணி அங்கீகாரத்தைச் சேர்க்க வேண்டும்.

1. புதிய AAA சர்வர் குழுவைச் சேர்க்கவும்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
2. எங்கள் பலOTP சேவையகத்தை குழுவில் சேர்க்கவும்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
3. திருத்துகிறோம் இணைப்பு சுயவிவரம், ஆக்டிவ் டைரக்டரி சர்வர் குழுவை முக்கிய அங்கீகார சேவையகமாக அமைத்தல்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
4. தாவலில் மேம்பட்ட -> அங்கீகாரம் செயலில் உள்ள அடைவு சேவையகக் குழுவையும் நாங்கள் தேர்ந்தெடுக்கிறோம்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
5. தாவலில் மேம்பட்ட -> இரண்டாம் நிலை அங்கீகாரம், மல்டிஓடிபி சர்வர் பதிவு செய்யப்பட்டுள்ள உருவாக்கப்பட்ட சர்வர் குழுவைத் தேர்ந்தெடுக்கவும். அமர்வு பயனர்பெயர் முதன்மை AAA சர்வர் குழுவிலிருந்து பெறப்பட்டது என்பதை நினைவில் கொள்க:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
அமைப்புகளைப் பயன்படுத்தவும் மற்றும்

படி 6, அல்லது கடைசி
SLL VPNக்கு இரண்டு-காரணி அங்கீகாரம் செயல்படுகிறதா என்று பார்க்கலாம்:

2FA க்குச் செல்லவும் (ASA SSL VPNக்கான இரு காரணி அங்கீகாரம்)
வோய்லா! சிஸ்கோ AnyConnect VPN கிளையண்ட் வழியாக இணைக்கும் போது, ​​உங்களிடம் இரண்டாவது, ஒரு முறை கடவுச்சொல் கேட்கப்படும்.

இந்தக் கட்டுரை யாருக்காவது உதவும் என்றும், இதை எப்படிப் பயன்படுத்துவது என்பது பற்றிய சிந்தனைக்கு இது ஒருவருக்கு உணவளிக்கும் என்றும் நம்புகிறேன். இலவச மற்ற பணிகளுக்கு OTP சர்வர். நீங்கள் விரும்பினால் கருத்துகளில் பகிர்ந்து கொள்ளுங்கள்.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்