จะเป็นอย่างไรหากการรับรองความถูกต้องด้วยสองปัจจัยเป็นทั้งสิ่งที่ต้องการและเต็มไปด้วยหนาม แต่ไม่มีเงินสำหรับโทเค็นฮาร์ดแวร์ และโดยทั่วไปแล้ว โทเค็นฮาร์ดแวร์จะเสนอให้อยู่ในอารมณ์ที่ดี
โซลูชันนี้ไม่ใช่สิ่งที่แปลกใหม่ แต่เป็นการผสมผสานระหว่างโซลูชันต่างๆ ที่พบในอินเทอร์เน็ต
ดังนั้น
Домен Active Directory.
ผู้ใช้โดเมนที่ทำงานผ่าน VPN เช่นเดียวกับหลายๆ คนในปัจจุบัน
ทำหน้าที่เป็นเกตเวย์ VPN FortiGate.
นโยบายความปลอดภัยห้ามบันทึกรหัสผ่านสำหรับไคลเอ็นต์ VPN
การเมือง Fortinet สำหรับโทเค็นของคุณเอง คุณไม่สามารถเรียกมันว่าน้อยกว่า zhlob ได้ - มีโทเค็นฟรีมากถึง 10 โทเค็น ส่วนที่เหลือ - ในราคาที่ไม่โคเชอร์ ฉันไม่ได้พิจารณา RSASecureID, Duo และอื่นๆ เพราะฉันต้องการโอเพ่นซอร์ส
ข้อกำหนดเบื้องต้น: เจ้าภาพ *ห้าม ด้วยการจัดตั้ง freeradius, ssd - เข้าสู่โดเมน ผู้ใช้โดเมนสามารถพิสูจน์ตัวตนบนโดเมนได้อย่างง่ายดาย
แพ็คเกจเพิ่มเติม: หอยเชลล์, มะเดื่อ, freeradius-ldap, แบบอักษร กบฏ.tlf จากที่เก็บ
ในตัวอย่างของฉัน - CentOS 7.8
ตรรกะของการทำงานควรเป็นดังนี้: เมื่อเชื่อมต่อกับ VPN ผู้ใช้จะต้องป้อนชื่อผู้ใช้โดเมนและ OTP แทนรหัสผ่าน
การตั้งค่าบริการ
В /etc/raddb/radiusd.conf เฉพาะผู้ใช้และกลุ่มในนามเท่านั้นที่เริ่มต้น freeradiusตั้งแต่การบริการ รัศมี ควรจะสามารถอ่านไฟล์ในไดเร็กทอรีย่อยทั้งหมดได้ /บ้าน/.
user = root
group = root
เพื่อให้สามารถใช้กลุ่มในการตั้งค่า FortiGate, จะต้องได้รับการถ่ายทอด คุณลักษณะเฉพาะของผู้ขาย. ในการทำเช่นนี้ในไดเร็กทอรี raddb/policy.d ฉันสร้างไฟล์ที่มีเนื้อหาดังต่อไปนี้:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
หลังการติดตั้ง ฟรีรัศมี-ldap ในไดเรกทอรี มี raddb/mods ไฟล์ถูกสร้างขึ้น LDAP.
จำเป็นต้องสร้างลิงก์สัญลักษณ์ไปยังไดเร็กทอรี เปิดใช้งาน raddb/mods.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
ฉันนำเนื้อหามาไว้ในแบบฟอร์มนี้:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
ในไฟล์ raddb/ไซต์ที่เปิดใช้งาน/default и raddb/sites-enabled/inner-tunnel ในส่วน อนุญาต ฉันเพิ่มชื่อนโยบายที่จะใช้ - group_authorization จุดสำคัญ - ชื่อของนโยบายไม่ได้ถูกกำหนดโดยชื่อของไฟล์ในไดเร็กทอรี นโยบายงแต่โดยคำสั่งภายในไฟล์ก่อนที่จะวงเล็บปีกกา
ในส่วน รับรองความถูกต้อง ในไฟล์เดียวกันคุณต้องยกเลิกการแสดงความคิดเห็นในบรรทัด แพม.
ในไฟล์ ลูกค้า.conf กำหนดพารามิเตอร์ที่จะเชื่อมต่อ FortiGate:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
การกำหนดค่าโมดูล pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
ตัวเลือกการใช้งานบันเดิลเริ่มต้น freeradius с google authenticator กำหนดให้ผู้ใช้ป้อนข้อมูลรับรองในรูปแบบ: ชื่อผู้ใช้รหัสผ่าน+OTP.
โดยจินตนาการถึงจำนวนคำสาปที่จะตกลงมาบนศีรษะ ในกรณีของการใช้บันเดิลเริ่มต้น freeradius с Google Authenticator ให้มีการตัดสินใจที่จะใช้การกำหนดค่าโมดูล แพม เพื่อให้ตรวจสอบได้เฉพาะโทเค็นเท่านั้น Google Authenticator ให้.
เมื่อผู้ใช้เชื่อมต่อ สิ่งต่อไปนี้จะเกิดขึ้น:
- Freeradius ตรวจสอบว่าผู้ใช้อยู่ในโดเมนและในกลุ่มใดกลุ่มหนึ่งหรือไม่ และหากสำเร็จ จะตรวจสอบโทเค็น OTP
ทุกอย่างดูดีพอจนกระทั่งตอนที่ฉันคิดว่า “ฉันจะลงทะเบียน OTP สำหรับผู้ใช้มากกว่า 300 คนได้อย่างไร”
ผู้ใช้ต้องเข้าสู่ระบบเซิร์ฟเวอร์ด้วย freeradius และจากบัญชีของคุณและเรียกใช้แอปพลิเคชัน Google Authenticatorซึ่งจะสร้างรหัส QR สำหรับแอปพลิเคชันสำหรับผู้ใช้ นี่คือที่มาของความช่วยเหลือ หอยเชลล์ ร่วมกับ .bash_profile.
[root@freeradius ~]# yum install -y shellinabox
ไฟล์คอนฟิกูเรชัน daemon ตั้งอยู่ที่ /etc/sysconfig/shellinabox.
ฉันระบุพอร์ต 443 ที่นั่น และคุณสามารถระบุใบรับรองของคุณได้
[root@freeradius ~]#systemctl enable --now shellinaboxd
ผู้ใช้เพียงแค่ไปตามลิงก์ ป้อนเครดิตโดเมน และรับรหัส QR สำหรับแอปพลิเคชัน
อัลกอริทึมมีดังนี้:
- ผู้ใช้ลงชื่อเข้าใช้เครื่องผ่านเบราว์เซอร์
- มีการตรวจสอบผู้ใช้โดเมนหรือไม่ ถ้าไม่เช่นนั้นจะไม่มีการดำเนินการใด ๆ
- หากผู้ใช้เป็นผู้ใช้โดเมน ระบบจะตรวจสอบการเป็นสมาชิกในกลุ่มผู้ดูแลระบบ
- หากไม่ใช่ผู้ดูแลระบบ จะตรวจสอบว่ามีการกำหนดค่า Google Authenticator หรือไม่ หากไม่มี รหัส QR และการออกจากระบบของผู้ใช้จะถูกสร้างขึ้น
- หากไม่ใช่ผู้ดูแลระบบและกำหนดค่า Google Authenticator ให้ออกจากระบบ
- หากเป็นผู้ดูแลระบบ ให้ตรวจสอบ Google Authenticator อีกครั้ง หากไม่ได้กำหนดค่า ระบบจะสร้างรหัส QR
ตรรกะทั้งหมดเสร็จสิ้นโดยใช้ /etc/skel/.bash_profile.
แมว /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
การตั้งค่าป้อมปราการ:
- เราสร้าง รัศมี-เซิร์ฟเวอร์
- เราสร้างกลุ่มที่จำเป็นหากจำเป็นให้ควบคุมการเข้าถึงโดยกลุ่ม ชื่อกลุ่มบน FortiGate จะต้องตรงกับกลุ่มที่สอบเข้า คุณลักษณะเฉพาะของผู้ขาย Fortinet-ชื่อกลุ่ม.
- การแก้ไขที่จำเป็น SSL-พอร์ทัล
- การเพิ่มกลุ่มนโยบาย
ข้อดีของโซลูชันนี้:
- สามารถยืนยันตัวตนด้วยรหัส OTP ได้ FortiGate โซลูชันโอเพ่นซอร์ส
- ผู้ใช้ไม่ได้ป้อนรหัสผ่านโดเมนเมื่อเชื่อมต่อผ่าน VPN ซึ่งจะทำให้กระบวนการเชื่อมต่อง่ายขึ้น รหัสผ่าน 6 หลักนั้นป้อนได้ง่ายกว่ารหัสผ่านที่กำหนดโดยนโยบายความปลอดภัย เป็นผลให้จำนวนตั๋วที่มีหัวข้อ: “ฉันไม่สามารถเชื่อมต่อกับ VPN ได้” ลดลง
ป.ล. เราวางแผนที่จะอัปเกรดโซลูชันนี้เป็นการยืนยันตัวตนแบบสองปัจจัยเต็มรูปแบบพร้อมการตอบกลับแบบท้าทาย
ปรับปรุง:
ตามที่ได้สัญญาไว้ ฉันได้ปรับแต่งให้เป็นตัวเลือกการตอบสนองต่อความท้าทาย
ดังนั้น:
ในไฟล์ /etc/raddb/sites-enabled/default ส่วน อนุญาต มีลักษณะเช่นนี้:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
ส่วน รับรองความถูกต้อง ตอนนี้ดูเหมือนว่า:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
ขณะนี้การยืนยันผู้ใช้เกิดขึ้นตามอัลกอริทึมต่อไปนี้:
- ผู้ใช้ป้อนเครดิตโดเมนในไคลเอ็นต์ VPN
- Freeradius ตรวจสอบความถูกต้องของบัญชีและรหัสผ่าน
- หากรหัสผ่านถูกต้อง ระบบจะส่งคำขอโทเค็น
- กำลังตรวจสอบโทเค็น
- กำไร).
ที่มา: will.com