உங்கள் நிறுவனத்தில் உள்ள குறிப்பிட்ட சேவையகத்தை அணுக வேண்டிய உங்கள் பயனர்கள் அல்லது கூட்டாளர்களாக இருந்தாலும், கார்ப்பரேட் சூழலுக்கு தொலைநிலை அணுகலை வழங்க வேண்டிய அவசியம் அடிக்கடி எழுகிறது.
இந்த நோக்கங்களுக்காக, பெரும்பாலான நிறுவனங்கள் VPN தொழில்நுட்பத்தைப் பயன்படுத்துகின்றன, இது நிறுவனத்தின் உள்ளூர் வளங்களுக்கான அணுகலை வழங்குவதற்கான நம்பகமான பாதுகாக்கப்பட்ட வழியாக தன்னை நிரூபித்துள்ளது.
எனது நிறுவனம் விதிவிலக்கல்ல, மேலும் பலரைப் போலவே நாமும் இந்த தொழில்நுட்பத்தைப் பயன்படுத்துகிறோம். மேலும், பலரைப் போலவே, நாங்கள் Cisco ASA 55xxஐ தொலைநிலை அணுகல் நுழைவாயிலாகப் பயன்படுத்துகிறோம்.
தொலைதூர பயனர்களின் எண்ணிக்கை அதிகரித்து வருவதால், நற்சான்றிதழ்களை வழங்குவதற்கான நடைமுறையை எளிமைப்படுத்த வேண்டிய அவசியம் உள்ளது. ஆனால் அதே நேரத்தில், இது பாதுகாப்பை சமரசம் செய்யாமல் செய்யப்பட வேண்டும்.
நமக்காக, ஒரு முறை கடவுச்சொற்களைப் பயன்படுத்தி, சிஸ்கோ SSL VPN வழியாக இணைக்க இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்துவதில் ஒரு தீர்வைக் கண்டறிந்துள்ளோம். தேவையான மென்பொருளுக்கு (உங்கள் உள்கட்டமைப்பில் ஏற்கனவே சிஸ்கோ ஏஎஸ்ஏ இருந்தால்) குறைந்த நேரம் மற்றும் பூஜ்ஜிய செலவில் அத்தகைய தீர்வை எவ்வாறு ஒழுங்கமைப்பது என்பதை இந்த வெளியீடு உங்களுக்குச் சொல்லும்.
ஒரு முறை கடவுச்சொற்களை உருவாக்குவதற்கான பெட்டி தீர்வுகளால் சந்தை நிரம்பியுள்ளது, அதே நேரத்தில் அவற்றைப் பெறுவதற்கான பல விருப்பங்களை வழங்குகிறது, அது கடவுச்சொல்லை SMS வழியாக அனுப்புவது அல்லது டோக்கன்களைப் பயன்படுத்துவது, வன்பொருள் மற்றும் மென்பொருள் (உதாரணமாக, மொபைல் ஃபோனில்). ஆனால் பணத்தைச் சேமிப்பதற்கான ஆசை மற்றும் எனது முதலாளிக்கு பணத்தைச் சேமிக்கும் ஆசை, தற்போதைய நெருக்கடியில், ஒரு முறை கடவுச்சொற்களை உருவாக்குவதற்கான சேவையை செயல்படுத்த இலவச வழியைக் கண்டுபிடிக்க என்னை கட்டாயப்படுத்தியது. இது இலவசம் என்றாலும், வணிக தீர்வுகளை விட மிகவும் தாழ்ந்ததாக இல்லை (இங்கே நாம் முன்பதிவு செய்ய வேண்டும், இந்த தயாரிப்பு ஒரு வணிக பதிப்பையும் கொண்டுள்ளது, ஆனால் எங்கள் செலவுகள் பணத்தில் பூஜ்ஜியமாக இருக்கும் என்பதை நாங்கள் ஒப்புக்கொண்டோம்).
எனவே, நமக்கு வேண்டியது:
- மல்டிஓடிபி, ஃப்ரீரேடியஸ் மற்றும் என்ஜிஎன்எக்ஸ் கருவிகளின் உள்ளமைக்கப்பட்ட தொகுப்பைக் கொண்ட லினக்ஸ் படம், இணையம் வழியாக சேவையகத்தை அணுகுவதற்கு (http://download.multiotp.net/ - நான் VMware க்காக ஆயத்தப் படத்தைப் பயன்படுத்தினேன்)
- செயலில் உள்ள அடைவு சேவையகம்
— Cisco ASA தானே (வசதிக்காக, நான் ASDM ஐப் பயன்படுத்துகிறேன்)
— TOTP பொறிமுறையை ஆதரிக்கும் எந்த மென்பொருள் டோக்கனும் (உதாரணமாக, நான் Google அங்கீகரிப்பைப் பயன்படுத்துகிறேன், ஆனால் அதே FreeOTP செய்யும்)
படம் எப்படி வெளிவருகிறது என்ற விவரங்களுக்கு நான் செல்லமாட்டேன். இதன் விளைவாக, நீங்கள் ஏற்கனவே நிறுவப்பட்ட மல்டிஓடிபி மற்றும் ஃப்ரீரேடியஸ் உடன் டெபியன் லினக்ஸைப் பெறுவீர்கள், ஒன்றாக வேலை செய்ய உள்ளமைக்கப்பட்டுள்ளது மற்றும் OTP நிர்வாகத்திற்கான இணைய இடைமுகம்.
படி 1. நாங்கள் கணினியைத் தொடங்கி, உங்கள் நெட்வொர்க்கிற்கு அதை உள்ளமைக்கிறோம்
முன்னிருப்பாக, கணினி ரூட் சான்றுகளுடன் வருகிறது. முதல் உள்நுழைவுக்குப் பிறகு ரூட் பயனர் கடவுச்சொல்லை மாற்றுவது நல்லது என்று எல்லோரும் யூகித்ததாக நினைக்கிறேன். நீங்கள் பிணைய அமைப்புகளையும் மாற்ற வேண்டும் (இயல்புநிலையாக '192.168.1.44' நுழைவாயில் '192.168.1.1' ஆகும்). அதன் பிறகு, நீங்கள் கணினியை மறுதொடக்கம் செய்யலாம்.
செயலில் உள்ள கோப்பகத்தில் ஒரு பயனரை உருவாக்குவோம் OTP, கடவுச்சொல்லுடன் MySuperPassword.
படி 2. இணைப்பை அமைத்து, ஆக்டிவ் டைரக்டரி பயனர்களை இறக்குமதி செய்யவும்
இதைச் செய்ய, கன்சோலுக்கான அணுகல் மற்றும் நேரடியாக கோப்பிற்கு அணுகல் தேவை multiotp.php, இதைப் பயன்படுத்தி இணைப்பு அமைப்புகளை செயலில் உள்ள கோப்பகத்திற்கு உள்ளமைப்போம்.
கோப்பகத்திற்குச் செல்லவும் /usr/local/bin/multiotp/ மேலும் பின்வரும் கட்டளைகளை இயக்கவும்:
./multiotp.php -config default-request-prefix-pin=0
ஒரு முறை பின்னை (0 அல்லது 1) உள்ளிடும்போது கூடுதல் (நிரந்தர) பின் தேவையா என்பதைத் தீர்மானிக்கிறது
./multiotp.php -config default-request-ldap-pwd=0
ஒரு முறை பின்னை (0 அல்லது 1) உள்ளிடும்போது டொமைன் கடவுச்சொல் தேவையா என்பதைத் தீர்மானிக்கிறது
./multiotp.php -config ldap-server-type=1
LDAP சேவையகத்தின் வகை குறிப்பிடப்பட்டுள்ளது (0 = வழக்கமான LDAP சேவையகம், எங்கள் விஷயத்தில் 1 = செயலில் உள்ள அடைவு)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"
பயனர்பெயரை வழங்குவதற்கான வடிவமைப்பைக் குறிப்பிடுகிறது (இந்த மதிப்பு டொமைன் இல்லாமல் பெயரை மட்டுமே காண்பிக்கும்)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"
அதே விஷயம், ஒரு குழுவிற்கு மட்டுமே
./multiotp.php -config ldap-group-attribute="memberOf"
ஒரு பயனர் குழுவைச் சேர்ந்தவர் என்பதைத் தீர்மானிக்கும் முறையைக் குறிப்பிடுகிறது
./multiotp.php -config ldap-ssl=1
நான் LDAP சேவையகத்துடன் பாதுகாப்பான இணைப்பைப் பயன்படுத்த வேண்டுமா (நிச்சயமாக - ஆம்!)
./multiotp.php -config ldap-port=636
LDAP சேவையகத்துடன் இணைப்பதற்கான போர்ட்
./multiotp.php -config ldap-domain-controllers=adSRV.domain.local
உங்கள் ஆக்டிவ் டைரக்டரி சர்வர் முகவரி
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"
டொமைனில் உள்ள பயனர்களை எங்கு தேடுவது என்பதை நாங்கள் குறிப்பிடுகிறோம்
./multiotp.php -config ldap-bind-dn="[email protected]"
செயலில் உள்ள கோப்பகத்தில் தேடல் உரிமைகள் உள்ள பயனரைக் குறிப்பிடவும்
./multiotp.php -config ldap-server-password="MySuperPassword"
செயலில் உள்ள கோப்பகத்துடன் இணைக்க பயனர் கடவுச்சொல்லை குறிப்பிடவும்
./multiotp.php -config ldap-network-timeout=10
செயலில் உள்ள கோப்பகத்துடன் இணைப்பதற்கான காலக்கெடுவை அமைத்தல்
./multiotp.php -config ldap-time-limit=30
பயனர் இறக்குமதி செயல்பாட்டிற்கான கால வரம்பை நாங்கள் அமைத்துள்ளோம்
./multiotp.php -config ldap-activated=1
ஆக்டிவ் டைரக்டரி இணைப்பு உள்ளமைவை செயல்படுத்துகிறது
./multiotp.php -debug -display-log -ldap-users-sync
ஆக்டிவ் டைரக்டரியிலிருந்து பயனர்களை இறக்குமதி செய்கிறோம்
படி 3. டோக்கனுக்கான QR குறியீட்டை உருவாக்கவும்
இங்கே எல்லாம் மிகவும் எளிமையானது. உலாவியில் OTP சேவையகத்தின் இணைய இடைமுகத்தைத் திறந்து, உள்நுழைக (நிர்வாகிக்கான இயல்புநிலை கடவுச்சொல்லை மாற்ற மறக்காதீர்கள்!), "அச்சிடு" பொத்தானைக் கிளிக் செய்யவும்:
இந்தச் செயலின் விளைவாக இரண்டு QR குறியீடுகளைக் கொண்ட பக்கமாக இருக்கும். அவற்றில் முதன்மையானதை நாங்கள் தைரியமாக புறக்கணிக்கிறோம் (கவர்ச்சிகரமான கல்வெட்டு Google அங்கீகரிப்பு / அங்கீகரிப்பு / 2 படிகள் அங்கீகாரம் இருந்தபோதிலும்), மேலும் இரண்டாவது குறியீட்டை மீண்டும் தைரியமாக தொலைபேசியில் ஒரு மென்பொருள் டோக்கனில் ஸ்கேன் செய்கிறோம்:
(ஆம், நான் வேண்டுமென்றே QR குறியீட்டை படிக்க முடியாதபடி கெடுத்துவிட்டேன்).
இந்த செயல்களை முடித்த பிறகு, ஒவ்வொரு முப்பது வினாடிக்கும் உங்கள் பயன்பாட்டில் ஆறு இலக்க கடவுச்சொல் உருவாக்கத் தொடங்கும்.
நிச்சயமாக, நீங்கள் அதை அதே இடைமுகத்தில் சரிபார்க்கலாம்:
உங்கள் தொலைபேசியில் உள்ள பயன்பாட்டிலிருந்து உங்கள் பயனர்பெயர் மற்றும் ஒரு முறை கடவுச்சொல்லை உள்ளிடுவதன் மூலம். நீங்கள் நேர்மறையான பதிலைப் பெற்றீர்களா? எனவே தொடரலாம்.
படி 4. FreeRADIUS செயல்பாட்டின் கூடுதல் கட்டமைப்பு மற்றும் சோதனை
நான் மேலே குறிப்பிட்டுள்ளபடி, FreeRADIUS உடன் பணிபுரிய multiOTP ஏற்கனவே கட்டமைக்கப்பட்டுள்ளது, எஞ்சியிருப்பது சோதனைகளை இயக்குவது மற்றும் FreeRADIUS உள்ளமைவு கோப்பில் எங்கள் VPN நுழைவாயில் பற்றிய தகவலைச் சேர்ப்பது மட்டுமே.
நாங்கள் சர்வர் கன்சோலுக்கு, கோப்பகத்திற்குத் திரும்புகிறோம் /usr/local/bin/multiotp/, உள்ளிடவும்:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1
மேலும் விரிவான பதிவு உட்பட.
FreeRADIUS கிளையண்டுகள் உள்ளமைவு கோப்பில் (/etc/freeradius/clinets.conf) தொடர்பான அனைத்து வரிகளையும் கருத்து தெரிவிக்கவும் லோக்கல் ஹோஸ்ட் மற்றும் இரண்டு உள்ளீடுகளைச் சேர்க்கவும்:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}
- சோதனைக்கு
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}
- எங்கள் VPN நுழைவாயிலுக்கு.
FreeRADIUS ஐ மறுதொடக்கம் செய்து உள்நுழைய முயற்சிக்கவும்:
radtest username 100110 localhost 1812 testing321
எங்கே பயனர்பெயர் = பயனர் பெயர், 100110 = தொலைபேசியில் பயன்பாடு மூலம் எங்களுக்கு வழங்கப்பட்ட கடவுச்சொல், லோக்கல் ஹோஸ்ட் = RADIUS சேவையக முகவரி, 1812 - ரேடியஸ் சர்வர் போர்ட், testing321 — RADIUS சர்வர் கிளையன்ட் கடவுச்சொல் (நாம் கட்டமைப்பில் குறிப்பிட்டது).
இந்த கட்டளையின் முடிவு தோராயமாக பின்வருமாறு வெளியிடப்படும்:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20
இப்போது பயனர் வெற்றிகரமாக அங்கீகரிக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்த வேண்டும். இதைச் செய்ய, multiotp இன் பதிவேட்டைப் பார்ப்போம்:
tail /var/log/multiotp/multiotp.log
கடைசி நுழைவு இருந்தால்:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1
பின்னர் எல்லாம் நன்றாக முடிந்தது, நாங்கள் முடிக்க முடியும்
படி 5: சிஸ்கோ ஏஎஸ்ஏவை உள்ளமைக்கவும்
எங்களிடம் ஏற்கனவே உள்ளமைக்கப்பட்ட குழு மற்றும் SLL VPN வழியாக அணுகுவதற்கான கொள்கைகள் உள்ளன, செயலில் உள்ள கோப்பகத்துடன் இணைந்து கட்டமைக்கப்பட்டுள்ளன, மேலும் இந்த சுயவிவரத்திற்கு இரண்டு காரணி அங்கீகாரத்தைச் சேர்க்க வேண்டும்.
1. புதிய AAA சர்வர் குழுவைச் சேர்க்கவும்:
2. எங்கள் பலOTP சேவையகத்தை குழுவில் சேர்க்கவும்:
3. திருத்துகிறோம் இணைப்பு சுயவிவரம், ஆக்டிவ் டைரக்டரி சர்வர் குழுவை முக்கிய அங்கீகார சேவையகமாக அமைத்தல்:
4. தாவலில் மேம்பட்ட -> அங்கீகாரம் செயலில் உள்ள அடைவு சேவையகக் குழுவையும் நாங்கள் தேர்ந்தெடுக்கிறோம்:
5. தாவலில் மேம்பட்ட -> இரண்டாம் நிலை அங்கீகாரம், மல்டிஓடிபி சர்வர் பதிவு செய்யப்பட்டுள்ள உருவாக்கப்பட்ட சர்வர் குழுவைத் தேர்ந்தெடுக்கவும். அமர்வு பயனர்பெயர் முதன்மை AAA சர்வர் குழுவிலிருந்து பெறப்பட்டது என்பதை நினைவில் கொள்க:
அமைப்புகளைப் பயன்படுத்தவும் மற்றும்
படி 6, அல்லது கடைசி
SLL VPNக்கு இரண்டு-காரணி அங்கீகாரம் செயல்படுகிறதா என்று பார்க்கலாம்:
வோய்லா! சிஸ்கோ AnyConnect VPN கிளையண்ட் வழியாக இணைக்கும் போது, உங்களிடம் இரண்டாவது, ஒரு முறை கடவுச்சொல் கேட்கப்படும்.
இந்தக் கட்டுரை யாருக்காவது உதவும் என்றும், இதை எப்படிப் பயன்படுத்துவது என்பது பற்றிய சிந்தனைக்கு இது ஒருவருக்கு உணவளிக்கும் என்றும் நம்புகிறேன். இலவச மற்ற பணிகளுக்கு OTP சர்வர். நீங்கள் விரும்பினால் கருத்துகளில் பகிர்ந்து கொள்ளுங்கள்.
ஆதாரம்: www.habr.com