Як бути, якщо двофакторної аутентифікації і хочеться, і колеться, а грошей на апаратні токени немає і взагалі пропонують триматися хорошого настрою.
Дане рішення не є чимось супероригінальним, швидше мікс з різних рішень, знайдених на просторах інтернету.
Отже, дано
домен Active Directory.
Користувачі домену, що працюють через VPN, як багато хто сьогодні.
У ролі шлюзу VPN виступає Зміцнювати.
Збереження пароля для клієнта VPN заборонено політикою безпеки.
Політику Fortinet щодо власних токенів менш ніж жлобської не назвеш — безкоштовних токенів аж 10 одиниць, решта — за дуже некошерною ціною. RSASecureID, Duo та їм подібні не розглядав, оскільки хочеться опенсорсу.
Попередні вимоги: хост * nix із встановленим FreeRADIUS, ssd — введено в домен, доменні користувачі можуть спокійно автентифікуватися на ньому.
Додаткові пакети: shellinabox, фігурка, freeeradius-ldap, зсув rebel.tlf з репозиторію
У моєму прикладі – CentOS 7.8.
Логіка роботи передбачається такою: при підключенні до VPN користувач повинен ввести доменний логін та OTP замість пароля.
Налаштування сервісів
В /etc/raddb/radiusd.conf змінюється лише користувач та група, від імені яких стартує FreeRADIUS, оскільки сервіс radiusd повинен уміти читати файли у всіх піддиректоріях / home /.
user = root
group = root
Щоб можна було використовувати групи у налаштуваннях Зміцнюватипотрібно передавати Vendor Specific Attribute. Для цього в директорії raddb/policy.d створюю файл з таким вмістом:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
Після установки freeradius-ldap у директорії raddb/mods-available створюється файл ldap.
Потрібно створити символьне посилання у каталог raddb/mods-enabled.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
Наводжу його вміст до такого виду:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}
У файлах raddb/sites-enabled/default и raddb/sites-enabled/inner-tunnel у секції авторизувати дописую ім'я політики, яка використовуватиметься group_authorization. Важливий момент - ім'я політики визначається не назвою файлу в директорії policy.d, а директивою всередині файлу перед фігурними дужками.
У секції перевіряти справжність у цих файлах потрібно розкоментувати рядок РАМ.
У файлі clients.conf прописуємо параметри, з якими підключатиметься Зміцнювати:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
конфігурація модуля pam.d/radiusd:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
Дефолтні варіанти застосування зв'язки FreeRADIUS с автентифікатор google передбачають введення користувачем облікових даних у форматі: username/password+ОТП.
Представивши кількість прокльонів, що посипається на голову, у разі використання дефолтної зв'язки FreeRADIUS с Google Authenticator, було прийнято рішення використати конфігурацію модуля РАМ так, щоб перевіряти тільки токен Google Authenticator.
При підключенні користувача відбувається таке:
- Freeradius перевіряє наявність користувача в домені та певній групі і, у разі успіху, проводиться перевірка OTP токена.
Все виглядало досить вдало до того моменту, поки я не задумався «А як же зробити реєстрацію OTP для 300+ користувачів?»
Користувач повинен залогінитися на сервер з FreeRADIUS та з-під свого облікового запису та запустити програму Google автентифікаторяка згенерує для користувача QR-код для програми. Ось тут на допомогу і приходить shellinabox в комбінації з .bash_profile.
[root@freeradius ~]# yum install -y shellinabox
Конфігураційний файл демона знаходиться в /etc/sysconfig/shellinabox.
Вказую порт 443 і можна вказати свій сертифікат.
[root@freeradius ~]#systemctl enable --now shellinaboxd
Користувачеві залишається лише зайти за посиланням, ввести доменні креди та отримати QR-код для програми.
Алгоритм наступний:
- Користувач логіниться на машину через браузер.
- Перевіряється чи доменний користувач. Якщо ні, то жодних дій не робиться.
- Якщо доменний користувач, перевіряється приналежність до групи адміністраторів.
- Якщо не адмін, перевіряється чи налаштований Google Autheticator. Якщо ні, то генерується QR-код та logout користувача.
- Якщо не адмін і Google Authenticator налаштований, просто logout.
- Якщо адмін, то знову перевірка Google Authenticator. Якщо не налаштований, генерується QR-код.
Уся логіка виконується з використанням /etc/skel/.bash_profile.
cat /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
Налаштування Fortigate:
- Створюємо радіус-сервер
- Створюємо необхідні групи, у разі потреби розмежування доступу до груп. Ім'я групи на Зміцнювати має відповідати групі, яка передається до Vendor Specific Attribute Fortinet-Group-Name.
- Редагуємо необхідні SSL-портали.
- Додаємо групи до політики.
Плюси цього рішення:
- Є можливість аутентифікації по OTP на Зміцнювати опенсорс рішенням.
- Виключається введення доменного пароля користувачем при підключенні за VPN, що дещо спрощує процес підключення. 6-цифровий пароль ввести простіше, ніж той, що передбачений політикою безпеки. Як наслідок, зменшується кількість тикетів із темою: «Не можу підключитися до VPN».
PS У планах докрутити це рішення до повноцінної двофакторної авторизації із challenge-response.
Оновлення:
Як і обіцяв, таки докрутив до варіанту з challenge-response.
Отже:
У файлі /etc/raddb/sites-enabled/default секція авторизувати виглядає наступним чином:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
секція перевіряти справжність тепер має такий вигляд:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
Тепер перевірка користувача відбувається за таким алгоритмом:
- Користувач вводить доменні креди у VPN-клієнті.
- Freeradius перевіряє валідність облікового запису та пароль
- Якщо пароль правильний, то надсилається запит на токен.
- Відбувається перевірка токена.
- Профіт).
Джерело: habr.com