Зарурати таъмини дастрасии фосилавӣ ба муҳити корпоративӣ, новобаста аз он ки корбарон ё шарикони шумо ҳастанд, ки ба сервери мушаххаси ташкилоти шумо дастрасӣ доранд, бештар ва бештар ба миён меояд.
Бо ин мақсадҳо, аксари ширкатҳо технологияи VPN-ро истифода мебаранд, ки худро роҳи боэътимоди муҳофизати дастрасӣ ба захираҳои маҳаллии созмон собит кардааст.
Ширкати ман низ истисно набуд ва мо мисли дигарон аз ин технология истифода мебарем. Ва мисли бисёр дигарон, мо Cisco ASA 55xx-ро ҳамчун дарвозаи дастрасии дурдаст истифода мебарем.
Дар баробари зиёд шудани шумораи истифодабарандагони дурдаст, зарурати содда кардани тартиби додани маълумотнома ба миён меояд. Аммо дар айни замон, ин бояд бидуни осеб ба бехатарӣ анҷом дода шавад.
Барои худамон мо роҳи ҳалли истифодаи аутентификатсияи ду-омилро барои пайвастшавӣ тавассути Cisco SSL VPN бо истифода аз паролҳои якдафъаина ёфтем. Ва ин нашрия ба шумо мегӯяд, ки чӣ гуна ташкили чунин ҳалли бо ҳадди ақали вақт ва хароҷоти сифр барои нармафзори зарурӣ (ба шарте, ки шумо аллакай дар инфрасохтори худ Cisco ASA дошта бошед).
Бозор бо қарорҳои қуттӣ барои тавлиди паролҳои якдафъаина пур аст, дар ҳоле ки имконоти зиёде барои дарёфти онҳо, хоҳ ирсоли парол тавассути SMS ё истифодаи токенҳо, ҳам сахтафзор ва ҳам нармафзор (масалан, дар телефони мобилӣ) пур аст. Аммо хоҳиши сарфа кардани пул ва хоҳиши сарфа кардани пул барои корфармо дар бӯҳрони кунунӣ маро маҷбур кард, ки роҳи ройгони татбиқи хидмати тавлиди паролҳои якдафъаинаро пайдо кунам. Ки дар ҳоле ки ройгон аст, аз қарорҳои тиҷоратӣ хеле кам нест (дар ин ҷо мо бояд қайд кунем, ки ин маҳсулот версияи тиҷоратӣ дорад, аммо мо розӣ шудем, ки хароҷоти мо бо пул сифр хоҳад буд).
Ҳамин тавр, ба мо лозим аст:
- Тасвири Linux бо маҷмӯи асбобҳои дарунсохт - multiOTP, FreeRADIUS ва nginx, барои дастрасӣ ба сервер тавассути веб (http://download.multiotp.net/ - Ман тасвири тайёрро барои VMware истифода кардам)
— Сервери феҳристи фаъол
— Худи Cisco ASA (барои роҳат ман ASDM-ро истифода мебарам)
— Ҳар як аломати нармафзор, ки механизми TOTP-ро дастгирӣ мекунад (масалан, ман Google Authenticator -ро истифода мебарам, аммо ҳамон FreeOTP кор мекунад)
Ман ба тафсилоти он чӣ гуна тасвир намеравам. Дар натиҷа, шумо Debian Linux-ро бо multiOTP ва FreeRADIUS аллакай насбшуда, ки барои якҷоя кор кардан танзим карда шудаанд ва интерфейси веб барои маъмурияти OTP мегиред.
Қадами 1. Мо системаро оғоз мекунем ва онро барои шабакаи шумо танзим мекунем
Бо нобаёнӣ, система бо маълумоти решаи решавӣ меояд. Ман фикр мекунам, ки ҳама тахмин мезананд, ки пас аз воридшавии аввал иваз кардани пароли корбари реша хуб аст. Шумо инчунин бояд танзимоти шабакаро тағир диҳед (ба таври нобаёнӣ он '192.168.1.44' бо шлюзи '192.168.1.1' аст). Пас аз он шумо метавонед системаро бозоғоз намоед.
Биёед дар Active Directory корбар эҷод кунем ҳидоят, бо парол MySuperPassword.
Қадами 2. Пайвастро насб кунед ва корбарони Active Directoryро ворид кунед
Барои ин ба мо лозим аст, ки дастрасӣ ба консол ва бевосита ба файл multiotp.php, бо истифода аз он мо танзимоти пайвастшавиро ба Active Directory танзим мекунем.
Ба директория равед /usr/local/bin/multiotp/ ва бо навбат фармонҳои зеринро иҷро кунед:
./multiotp.php -config default-request-prefix-pin=0Муайян мекунад, ки оё ҳангоми ворид кардани пини якдафъаина (0 ё 1) пини иловагӣ (доими) лозим аст ё не
./multiotp.php -config default-request-ldap-pwd=0Муайян мекунад, ки оё пароли домен ҳангоми ворид кардани PIN-и якдафъаина лозим аст (0 ё 1)
./multiotp.php -config ldap-server-type=1Навъи сервери LDAP нишон дода шудааст (0 = сервери муқаррарии LDAP, дар ҳолати мо 1 = Directory Active)
./multiotp.php -config ldap-cn-identifier="sAMAccountName"Форматеро, ки дар он номи корбар пешниҳод мешавад, муайян мекунад (ин арзиш танҳо номро бидуни домен нишон медиҳад)
./multiotp.php -config ldap-group-cn-identifier="sAMAccountName"Ҳамин чиз, танҳо барои як гурӯҳ
./multiotp.php -config ldap-group-attribute="memberOf"Усули муайян кардани он ки корбар ба гурӯҳ тааллуқ дорад, муайян мекунад
./multiotp.php -config ldap-ssl=1Оё ман бояд пайвасти бехатарро ба сервери LDAP истифода барам (албатта - ҳа!)
./multiotp.php -config ldap-port=636Порт барои пайвастшавӣ ба сервери LDAP
./multiotp.php -config ldap-domain-controllers=adSRV.domain.localСуроғаи сервери Active Directory шумо
./multiotp.php -config ldap-base-dn="CN=Users,DC=domain,DC=local"Мо нишон медиҳем, ки дар куҷо ҷустуҷӯи корбаронро дар домен оғоз кардан лозим аст
./multiotp.php -config ldap-bind-dn="[email protected]"Корбареро муайян кунед, ки дар Active Directory ҳуқуқи ҷустуҷӯ дорад
./multiotp.php -config ldap-server-password="MySuperPassword"Пароли корбарро барои пайваст шудан ба Directory Active муайян кунед
./multiotp.php -config ldap-network-timeout=10Муқаррар кардани вақт барои пайвастшавӣ ба Directory Active
./multiotp.php -config ldap-time-limit=30Мо барои амалиёти воридоти корбар мӯҳлат муқаррар кардем
./multiotp.php -config ldap-activated=1Фаъолсозии конфигуратсияи пайвасти Active Directory
./multiotp.php -debug -display-log -ldap-users-syncМо корбаронро аз Active Directory ворид мекунем
Қадами 3. Эҷоди рамзи QR барои нишона
Дар ин ҷо ҳама чиз бениҳоят оддӣ аст. Интерфейси веб-сервери OTP-ро дар браузер кушоед, ворид шавед (фаромӯш накунед, ки пароли пешфарзро барои администратор иваз кунед!) ва тугмаи "Чоп кардан" -ро клик кунед:
Натиҷаи ин амал саҳифаест, ки дорои ду рамзи QR мебошад. Мо далерона аввалини онҳоро нодида мегирем (бо вуҷуди навиштаҷоти ҷолиби Google Authenticator / Authenticator / 2 Steps Authenticator) ва боз мо коди дуюмро далерона ба аломати нармафзор дар телефон скан мекунем:
(бале, ман дидаву дониста рамзи QR-ро вайрон кардам, то онро хонданашаванда гардонам).
Пас аз анҷоми ин амалҳо, ҳар сӣ сония дар замимаи шумо пароли шаш рақамӣ тавлид мешавад.
Барои боварӣ ҳосил кардан, шумо метавонед онро дар ҳамон интерфейс тафтиш кунед:
Бо ворид кардани номи корбар ва пароли яквақта аз барнома дар телефони худ. Оё шумо ҷавоби мусбат гирифтед? Пас, мо идома медиҳем.
Қадами 4. Танзимоти иловагӣ ва санҷиши амалиёти FreeRADIUS
Тавре ки ман дар боло зикр кардам, multiOTP аллакай барои кор бо FreeRADIUS танзим шудааст, танҳо иҷрои санҷишҳо ва илова кардани маълумот дар бораи дарвозаи VPN ба файли конфигуратсияи FreeRADIUS аст.
Мо ба консоли сервер, ба директория бармегардем /usr/local/bin/multiotp/, ворид кунед:
./multiotp.php -config debug=1
./multiotp.php -config display-log=1Аз ҷумла ба қайдгирии муфассал.
Дар файли конфигуратсияи муштариёни FreeRADIUS (/etc/freeradius/clinets.conf) ҳама сатрҳои марбут ба localhost ва ду вуруд илова кунед:
client localhost {
ipaddr = 127.0.0.1
secret = testing321
require_message_authenticator = no
}- барои санҷиш
client 192.168.1.254/32 {
shortname = CiscoASA
secret = ConnectToRADIUSSecret
}— барои дарвозаи VPN-и мо.
FreeRADIUS-ро аз нав оғоз кунед ва кӯшиш кунед, ки ворид шавед:
radtest username 100110 localhost 1812 testing321ки Логин = номи корбар, 100110 = пароле, ки аз ҷониби барнома дар телефон ба мо дода шудааст, localhost = суроғаи сервери RADIUS, 1812 — порти сервери RADIUS, 321. санҷиш — Пароли муштарии сервери RADIUS (ки мо онро дар конфигуратсия муайян кардем).
Натиҷаи ин фармон тақрибан ба таври зерин бароварда мешавад:
Sending Access-Request of id 44 to 127.0.0.1 port 1812
User-Name = "username"
User-Password = "100110"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=44, length=20Ҳоло мо бояд боварӣ ҳосил кунем, ки корбар бомуваффақият тасдиқ карда шудааст. Барои ин, мо ба гузориши худи multiotp назар мекунем:
tail /var/log/multiotp/multiotp.logВа агар вуруди охирин вуҷуд дошта бошад:
2016-09-01 08:58:17 notice username User OK: User username successfully logged in from 127.0.0.1
2016-09-01 08:58:17 debug Debug Debug: 0 OK: Token accepted from 127.0.0.1Баъд ҳама чиз хуб шуд ва мо метавонем анҷом диҳем
Қадами 5: Cisco ASA-ро танзим кунед
Биёед розӣ шавем, ки мо аллакай як гурӯҳ ва сиёсатҳои конфигуратсияшуда барои дастрасӣ тавассути SLL VPN дорем, ки дар якҷоягӣ бо Active Directory танзим шудааст ва мо бояд аутентификатсияи ду-омилро барои ин профил илова кунем.
1. Илова кардани гурӯҳи нави сервери AAA:
2. Сервери multiOTP-и моро ба гурӯҳ илова кунед:
3. Мо таҳрир мекунем профили пайвастшавӣ, таъин кардани гурӯҳи сервери Active Directory ҳамчун сервери аслии аутентификатсия:
4. Дар ҷадвал Advanced -> Аутентификатсия Мо инчунин гурӯҳи сервери Active Directory-ро интихоб мекунем:
5. Дар ҷадвал Мукаммал -> Миёна аутентификатсия, гурӯҳи сервери эҷодшударо, ки дар он сервери multiOTP сабт шудааст, интихоб кунед. Дар хотир доред, ки номи корбарии Session аз гурӯҳи сервери ибтидоии AAA мерос гирифта шудааст:
Танзимотҳоро татбиқ кунед ва
Қадами 6, яъне охирин
Биёед тафтиш кунем, ки оё аутентификатсияи ду омил барои SLL VPN кор мекунад:
Войла! Ҳангоми пайвастшавӣ тавассути Cisco AnyConnect VPN Client, аз шумо инчунин пароли дуюм ва якдафъаина талаб карда мешавад.
Ман умедворам, ки ин мақола ба касе кӯмак хоҳад кард ва он ба касе дар бораи чӣ гуна истифода бурдани он ғизо медиҳад, озод Сервери OTP, барои дигар вазифаҳо. Агар хоҳед, дар шарҳҳо мубодила кунед.
Манбаъ: will.com