🥇LinOTP צוויי-פאַקטאָר אָטענטאַקיישאַן סערווער

הייַנט איך ווילן צו טיילן ווי צו שטעלן אַרויף אַ צוויי-פאַקטאָר אָטענטאַקיישאַן סערווער צו באַשיצן אַ פֿירמע נעץ, זייטלעך, באַדינונגס, סש. דער סערווער וועט לויפן די פאלגענדע קאָמבינאַציע: LinOTP + FreeRadius.

פארוואס טאָן מיר דאַרפֿן עס?
דאָס איז אַ גאָר פריי, באַקוועם לייזונג אין זיין אייגענע נעץ, פרייַ פון דריט-פּאַרטיי פּראַוויידערז.

דער דינסט איז זייער באַקוועם, גאַנץ וויזשאַוואַל, ניט ענלעך אנדערע אָפֿן מקור פּראָדוקטן, און אויך שטיצט אַ ריזיק נומער פון פאַנגקשאַנז און פּאַלאַסיז (למשל, לאָגין + פּאַראָל + (PIN + OTPToken)). דורך די אַפּי, עס ינטאַגרייץ מיט SMS שיקט באַדינונגס (LinOTP Config-> Provider Config-> SMS פּראַוויידער), דזשענערייץ קאָודז פֿאַר רירעוודיק אַפּלאַקיישאַנז אַזאַ ווי Google אַוטהענטיפיקאַטאָר און פיל מער. איך טראַכטן עס איז מער באַקוועם ווי די סערוויס דיסקאַסט אין אַרטיקל.

דער סערווער אַרבעט בישליימעס מיט Cisco ASA, OpenVPN סערווער, Apache2 און אין אַלגעמיין מיט כּמעט אַלץ וואָס שטיצט אָטענטאַקיישאַן דורך אַ RADIUS סערווער (למשל פֿאַר SSH אין די דאַטן צענטער).

עס איז פארלאנגט:

1) דעביאַן 8 (דזשעססי) - דאַווקע! (פּראָצעס ינסטאַלירונג אויף דעביאַן 9 איז דיסקרייבד אין די סוף פון דעם אַרטיקל)

אָנהייב צייַט:

ינסטאָלינג דעביאַן 8.

לייג די LinOTP ריפּאַזאַטאָרי:

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

אַדינג שליסלען:

# gpg --search-keys 913DFF12F86258E5

מאל בעשאַס אַ "ריין" ינסטאַלירונג, נאָך פליסנדיק דעם באַפֿעל, דעביאַן דיספּלייז:

gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI

דאָס איז דער ערשט גנופּג סעטאַפּ. ס 'איז גוט. נאָר לויפן די באַפֿעל ווידער.
צו דעביאַן ס קשיא:

gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1)	LSE LinOTP2 Packaging <[email protected]>
	  2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5".  Введите числа, N) Следующий или Q) Выход>

מיר ענטפֿערן: 1

ווייַטער:

# gpg --export 913DFF12F86258E5 | apt-key add -

# apt-get update

ינסטאַלירן mysql. אין טעאָריע, איר קענען נוצן אן אנדער sql סערווער, אָבער פֿאַר פּאַשטעס איך וועל נוצן עס ווי רעקאַמענדיד פֿאַר LinOTP.

(נאָך אינפֿאָרמאַציע, אַרייַנגערעכנט ריקאַנפיגיערינג די LinOTP דאַטאַבייס, קענען זיין געפֿונען אין דער באַאַמטער דאַקיומענטיישאַן פֿאַר רונג. דאָ איר קענען אויך געפֿינען די באַפֿעל: dpkg-reconfigure linotp צו טוישן פּאַראַמעטערס אויב איר האָט שוין אינסטאַלירן mysql).

# apt-get install mysql-server

# apt-get update

(עס וואָלט נישט שאַטן צו קאָנטראָלירן די דערהייַנטיקונגען ווידער)
ינסטאַלירן LinOTP און נאָך מאַדזשולז:

# apt-get install linotp

מיר ענטפֿערן די פֿראגן פון די ינסטאַללער:
ניצן Apache2: יאָ
שאַפֿן אַ פּאַראָל פֿאַר אַדמין לינאָטפּ: "דיין פּאַראָל"
דזשענערייט זיך-געחתמעט באַווייַזן?: יאָ
ניצן MySQL?: יאָ
ווו איז די דאַטאַבייס: localhost
שאַפֿן אַ LinOTP דאַטאַבייס (באַזע נאָמען) אויף די סערווער: LinOTP2
שאַפֿן אַ באַזונדער באַניצער פֿאַר די דאַטאַבייס: LinOTP2
מיר שטעלן אַ פּאַראָל פֿאַר די באַניצער: "דיין פּאַראָל"
זאָל איך שאַפֿן אַ דאַטאַבייס איצט? (עפּעס ווי "ביסט איר זיכער איר ווילן ..."): יאָ
אַרייַן די MySQL וואָרצל פּאַראָל וואָס איר האָט באשאפן ווען איר ינסטאַלירן עס: "YourPassword"
געטאן.

(אַפּשאַנאַל, איר טאָן ניט האָבן צו ינסטאַלירן עס)

# apt-get install linotp-adminclient-cli

(אַפּשאַנאַל, איר טאָן ניט האָבן צו ינסטאַלירן עס)

# apt-get install libpam-linotp

און אַזוי אונדזער Linotp וועב צובינד איז איצט בנימצא אין:

"<b>https</b>: //IP_сервера/manage"

איך וועל רעדן וועגן די סעטטינגס אין די וועב צובינד אַ ביסל שפּעטער.

איצט, די מערסט וויכטיק זאַך! מיר כאַפּן FreeRadius און פֿאַרבינדונג עס מיט לינאָטפּ.

ינסטאַלירן FreeRadius און מאָדולע פֿאַר ארבעטן מיט LinOTP

# apt-get install freeradius linotp-freeradius-perl

באַקאַפּ דעם קליענט און די באַניצער ראַדיוס קאַנפיגיער.

# mv /etc/freeradius/clients.conf  /etc/freeradius/clients.old

# mv /etc/freeradius/users  /etc/freeradius/users.old

שאַפֿן אַ ליידיק קליענט טעקע:

# touch /etc/freeradius/clients.conf

עדיטינג אונדזער נייַ קאָנפיג טעקע (די באַקט אַרויף קאָנפיג קענען זיין געוויינט ווי אַ ביישפּיל)

# nano /etc/freeradius/clients.conf

client 192.168.188.0/24 {
secret  = passwd # пароль для подключения клиентов
}

ווייַטער, שאַפֿן אַ באַניצער טעקע:

# touch /etc/freeradius/users

מיר רעדאַגירן די טעקע, זאָגן ראַדיוס אַז מיר וועלן נוצן פּערל פֿאַר אָטענטאַקיישאַן.

# nano /etc/freeradius/users

DEFAULT Auth-type := perl

דערנאָך, רעדאַגירן די טעקע /etc/freeradius/modules/perl

# nano /etc/freeradius/modules/perl

מיר דאַרפֿן צו ספּעציפיצירן דעם דרך צו די פּערל לינאָטפּ שריפט אין די מאָדולע פּאַראַמעטער:

Perl { .......
.........
<source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

... ..
ווייַטער, מיר מאַכן אַ טעקע אין וואָס מיר זאָגן פון וואָס ( פעלד, דאַטאַבייס אָדער טעקע) צו נעמען די דאַטן.

# touch /etc/linotp2/rlm_perl.ini

# nano /etc/linotp2/rlm_perl.ini

URL=https://IP_вашего_LinOTP_сервера(192.168.X.X)/validate/simplecheck
REALM=webusers1c
RESCONF=LocalUser
Debug=True
SSL_CHECK=False

איך וועל גיין אין אַ ביסל מער דעטאַל דאָ ווייַל עס איז וויכטיק:

גאַנץ באַשרייַבונג פון דער טעקע מיט באַמערקונגען:
# IP פון די LinOTP סערווער (IP אַדרעס פון אונדזער LinOTP סערווער)
URL = https://172.17.14.103/validate/simplecheck
# אונדזער געגנט וואָס מיר וועלן שאַפֿן אין די LinOTP וועב צובינד.)
REALM=rearm1
# נאָמען פון די באַניצער גרופּע וואָס איז באשאפן אין די LinOTP וועב פּיסק.
RESCONF = פלאַך_טעקע
# אַפּשאַנאַל: באַמערקונג אויב אַלץ מיינט צו אַרבעטן פייַן
דעבוג = אמת
# אַפּשאַנאַל: נוצן דעם אויב איר האָט זיך-געשריבן סערטיפיקאַץ, אַנדערש באַמערקונג (SSL אויב מיר מאַכן אונדזער אייגענע באַווייַזן און ווילן צו באַשטעטיקן עס)
SSL_CHECK=פאַלש

דערנאָך, שאַפֿן די טעקע /etc/freeradius/sites-available/linotp

# touch /etc/freeradius/sites-available/linotp

# nano /etc/freeradius/sites-available/linotp

און נאָכמאַכן די קאָנפיג אין עס (ניט דאַרפֿן צו רעדאַגירן עפּעס):

authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
#  If you are using multiple kinds of realms, you probably
#  want to set "ignore_null = yes" for all of them.
#  Otherwise, when the first style of realm doesn't match,
#  the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USERREALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
#  Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}

ווייַטער מיר וועלן מאַכן אַ סים לינק:

# ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

פּערסנאַלי, איך טייטן פעליקייַט ראַדיוס זייטלעך, אָבער אויב איר דאַרפֿן זיי, איר קענען אָדער רעדאַגירן זייער קאַנפיגיעריישאַן אָדער דיסייבאַל זיי.

# rm /etc/freeradius/sites-enabled/default

# rm /etc/freeradius/sites-enabled/inner-tunnel

# service freeradius reload

איצט לאָמיר צוריקקומען צו די וועב פּנים און קוק עס אין אַ ביסל מער דעטאַל:
אין דער אויבערשטער רעכט ווינקל גיט LinOTP Config -> UserIdResolvers -> New
מיר קלייַבן וואָס מיר ווילן: LDAP (AD win, LDAP samba), אָדער SQL, אָדער היגע ניצערס פון די פלאַטפילע סיסטעם.

פּלאָמבירן די פארלאנגט פעלדער.

ווייַטער מיר מאַכן REALMS:
אין דער אויבערשטער רעכט ווינקל, גיט LinOTP Config -> Realms -> New.
און געבן אַ נאָמען צו אונדזער REALMS, און אויך גיט אויף די פריער באשאפן UserIdResolvers.

FreeRadius דאַרף אַלע די דאַטן אין די /etc/linotp2/rlm_perl.ini טעקע, ווי איך געשריבן אויבן, אַזוי אויב איר האָט נישט רעדאַגירן עס דעמאָלט, טאָן דאָס איצט.

דער סערווער איז אַלע קאַנפיגיערד.

דערצו:

באַשטעטיקן LinOTP אויף Debian 9:

ייַנמאָנטירונג:

# echo 'deb http://linotp.org/apt/debian stretch linotp' > /etc/apt/sources.list.d/linotp.list

# apt-get install dirmngr

# apt-key adv --recv-keys 913DFF12F86258E5

# apt-get update

# apt-get install mysql-server

(דורך פעליקייַט, אין Debian 9 mysql (mariaDB) טוט נישט פאָרשלאָגן צו שטעלן אַ וואָרצל פּאַראָל, דאָך איר קענען לאָזן עס ליידיק, אָבער אויב איר לייענען די נייַעס, דאָס זייער אָפט פירט צו "עפּאָס פיילז", אַזוי מיר וועלן שטעלן עס. ממילא)

# mysql -u root -p

use mysql;

UPDATE user SET Password = PASSWORD('тут_пароль') WHERE User = 'root';

exit

# apt-get install linotp

# apt-get install linotp-adminclient-cli

# apt-get install python-ldap

# apt install freeradius

# nano /etc/freeradius/3.0/sites-enabled/linotp

פּאַפּ די קאָד (געשיקט דורך JuriM, דאַנק צו אים פֿאַר דעם!):

סערווער לינאָטפּ {
הערן {
יפּאַדדר = *
פּאָרט = 1812
טיפּ = אַוטה
}
הערן {
יפּאַדדר = *
פּאָרט = 1813
טיפּ = אַקט
}
דערלויבט {
פּריפּראָסעס
דערהייַנטיקן {
&control:Auth-Type := פּערל
}
}
אָטענטיפיצירן {
אָט-טיפּ פּערל {
פּערל
}
}
חשבון {
יוניקס
}
}

רעדאַגירן /etc/freeradius/3.0/mods-enabled/perl

פּערל {
טעקע נאָמען = /usr/share/linotp/radius_linotp.pm
func_authenticate = אָטענטאַקירן
func_authorize = דערלויבן
}

צום באַדויערן, אין דעביאַן 9 די radius_linotp.pm ביבליאָטעק איז נישט אינסטאַלירן פֿון די ריפּאַזאַטאָריז, אַזוי מיר וועלן נעמען עס פֿון גיטהוב.

# apt install git

# git clone https://github.com/LinOTP/linotp-auth-freeradius-perl

# cd linotp-auth-freeradius-perl/

# cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

איצט לאָזן אונדז רעדאַגירן /etc/freeradius/3.0/clients.conf

קליענט סערווערס {
יפּאַדדר = 192.168.188.0/24
סוד = דיין פּאַראָל
}

איצט לאָזן אונדז ריכטיק נאַנאָ /etc/linotp2/rlm_perl.ini

מיר פּאַפּ די זעלבע קאָד דאָרט ווי ווען ינסטאָלינג אויף דעביאַן 8 (דיסקרייבד אויבן)

דאָס איז אַלץ לויטן געדאַנק. (נישט טעסטעד נאָך)

איך וועל לאָזן אונטן אַ ביסל פֿאַרבינדונגען וועגן באַשטעטיקן סיסטעמען וואָס אָפט דאַרפֿן צו זיין פּראָטעקטעד מיט צוויי-פאַקטאָר אָטענטאַקיישאַן:
באַשטעטיקן צוויי-פאַקטאָר אָטענטאַקיישאַן אין אַפּאַטשעקסנומקס

סעטאַפּ מיט Cisco ASA(אַ אַנדערש סימען דור סערווער איז געניצט דאָרט, אָבער די סעטטינגס פון די ASA זיך זענען די זעלבע).

VPN מיט צוויי-פאַקטאָר אָטענטאַקיישאַן

Customize צוויי פאַקטאָר אָטענטאַקיישאַן אין ssh (לינאָטפּ איז אויך געניצט דאָרט) - דאַנק צו דעם מחבר. דאָרט איר קענען אויך געפֿינען טשיקאַווע טינגז וועגן באַשטעטיקן ליאָטפּ פּאַלאַסיז.

אויך, די קמס פון פילע זייטלעך שטיצן צוויי-פאַקטאָר אָטענטאַקיישאַן (פֿאַר וואָרדפּרעסס, LinOTP אפילו האט זיין אייגענע ספּעציעל מאָדולע פֿאַר גיטהוב), פֿאַר בייַשפּיל, אויב איר ווילן צו מאַכן אַ פּראָטעקטעד אָפּטיילונג אויף דיין פֿירמע וועבזייטל פֿאַר פירמע עמפּלוייז.
וויכטיק פאַקט! דו זאלסט נישט קאָנטראָלירן די "גוגל אָטענטיפיקאַטאָר" קעסטל צו נוצן Google אַוטהענטיקאַטאָר! דער QR קאָד איז נישט ליינעוודיק דעמאָלט ... (מאָדנע פאַקט)

צו שרייַבן דעם אַרטיקל, אינפֿאָרמאַציע פון די פאלגענדע אַרטיקלען איז געניצט:
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

דאַנק צו די מחברים.

מקור: www.habr.com

LinOTP צוויי-פאַקטאָר אָטענטאַקיישאַן סערווער

לייגן אַ באַמערקונג באָטל מאַכן ענטפער