Сегодня я хочу поделиться, как настроить сервер двухфакторной авторизации, для защиты корпоративной сети, сайтов, сервисов. На сервере будет работать связка: LinOTP + FreeRadius.
Иногда при «чистой» установки, после выполнения этой команды, Debian выдает:
gpg: создан каталог `/root/.gnupg'
gpg: создан новый файл настроек `/root/.gnupg/gpg.conf'
gpg: ВНИМАНИЕ: параметры в `/root/.gnupg/gpg.conf' еще не активны при этом запуске
gpg: создана таблица ключей `/root/.gnupg/secring.gpg'
gpg: создана таблица ключей `/root/.gnupg/pubring.gpg'
gpg: не заданы серверы ключей (используйте --keyserver)
gpg: сбой при поиске на сервере ключей: плохой URI
Это первоначальная настройка gnupg. Ничего страшного. Просто выполните команду еще раз. На вопрос Debiana:
gpg: поиск "913DFF12F86258E5" на hkp сервере keys.gnupg.net
(1) LSE LinOTP2 Packaging
2048 bit RSA key F86258E5, создан: 2010-05-10
Keys 1-1 of 1 for "913DFF12F86258E5". Введите числа, N) Следующий или Q) Выход>
Отвечаем: 1
Далее:
# gpg --export 913DFF12F86258E5 | apt-key add -
# apt-get update
Устанавливаем mysql. В теории, можно использовать другой sql сервер, но я для простоты буду использовать его, как рекомендованный для LinOTP.
(доп. информация, в том числе о переконфигурировании базы LinOTP можно найти в официальной документации по ссылке. Там же, можно найти команду: dpkg-reconfigure linotp для изменения параметров если вы уже установили mysql).
# apt-get install mysql-server
# apt-get update
(еще раз проверить обновы не помешает) Устанавливаем LinOTP и доп.модули:
# apt-get install linotp
Отвечаем на вопросы установщика: Использовать Apache2: да Придумайте пароль для admin Linotp: «ВашПароль» Сгенерировать самоподписанный сертефикат?: да Использовать MySQL?: да Где находится база данных: localhost Создаем базу LinOTP (имя базы) на сервере: LinOTP2 Создаем отдельного юзера для базы данных: LinOTP2 Задаем пароль юзеру: «ВашПароль» Создать ли базу сейчас? (что-то вроде «Вы уверенны что хотите …»): да Вводим пароль root от MySQL который создали при его установки: «ВашПароль» Готово.
(опционально, можно и не ставить)
# apt-get install linotp-adminclient-cli
(опционально, можно и не ставить)
# apt-get install libpam-linotp
И так наш веб-интерфейс Linotp теперь доступен по адресу:
"https: //IP_сервера/manage"
О настройках в веб-интерфейсе я расскажу чуть позже.
Теперь, самое важное! Поднимаем FreeRadius и увязываем его с Linotp.
Тут я остановлюсь чуть подробнее, поскольку это важно:
Полное описание файла с комментариями: #IP of the linotp server (IP адрес нашего LinOTP сервера) URL=https://172.17.14.103/validate/simplecheck #Наша область которую мы создадим в веб интерфейсе LinOTP.) REALM=rearm1 #Имя группы юзверей которая создается в вебморде LinOTP. RESCONF=flat_file #optional: comment out if everything seems to work fine Debug=True #optional: use this, if you have selfsigned certificates, otherwise comment out (SSL если мы создаем свой сертификат и хотим его проверять) SSL_CHECK=False
Далее создадим файл /etc/freeradius/sites-available/linotp
# touch /etc/freeradius/sites-available/linotp
# nano /etc/freeradius/sites-available/linotp
И скопируем в него конфиг (править ничего ненадо):
authorize {
#normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess')
preprocess
# If you are using multiple kinds of realms, you probably
# want to set "ignore_null = yes" for all of them.
# Otherwise, when the first style of realm doesn't match,
# the other styles won't be checked.
#allows a list of realm (see '/etc/freeradius/modules/realm')
IPASS
#understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
suffix
#understands USER\REALM and can tell the components apart (see '/etc/freeradius/modules/realm')
ntdomain
# Read the 'users' file to learn about special configuration which should be applied for
# certain users (see '/etc/freeradius/modules/files')
files
# allows to let authentification to expire (see '/etc/freeradius/modules/expiration')
expiration
# allows to define valid service-times (see '/etc/freeradius/modules/logintime')
logintime
# We got no radius_shortname_map!
pap
}
#here the linotp perl module is called for further processing
authenticate {
perl
}
Лично я убиваю дефолтные радиусовские сайты, но если они вам нужны, то можете либо отредактировать их конфиг, либо отключить.
# rm /etc/freeradius/sites-enabled/default
# rm /etc/freeradius/sites-enabled/inner-tunnel
# service freeradius reload
Теперь вернемся к веб-морде и рассмотрим ее чуть подробнее: В правом верхнем углу нажимаем LinOTP Config → UserIdResolvers →New Выбираем чего хотим: LDAP (AD win, LDAP samba), или SQL, или локальные пользователи системы Flatfile.
Заполняем требуемые поля.
Далее создаем REALMS: В правом верхнем углу нажимаем LinOTP Config →Realms →New. и даем имя нашему REALMSу, а так же кликаем на созданный ранее UserIdResolvers.
Все эти данные нужны freeRadius в файлике /etc/linotp2/rlm_perl.ini, о чем я писал выше, поэтому, если вы его не отредактировали тогда, сделайте это сейчас.
Все сервер настроен. Зачем он нам? Это полностью бесплатное, удобное решение, внутри своей сети, не зависящее от сторонних провайдеров.
Данный сервис весьма удобен, достаточно нагляден, в отличии от других опенсорс продуктов, а так же поддерживает огромное количество функций и политик (Например login+password+(PIN+OTPToken)). Через API интегрируется с сервисами отправки sms (LinOTP Config→Provider Config→SMS Provider), генерирует коды для мобильных приложений типа Google Autentificator и многое другое. Я считаю он более удобен чем сервис рассматриваемый в статье.
Данный сервер отлично работает с Cisco ASA, OpenVPN сервером, Apache2, да и вообще практически со всем что поддерживает аутентификацию через RADIUS сервер.
Я оставлю ниже несколько ссылок по настройке систем, которые чаще всего требуется защищать двухфакторной авторизацией: Настройка двухфакторной аутентификации в Apache2
Настройка с Cisco ASA (там используется другой сервер генерации токенов, но настройки самой ASA теже самые).
VPN c двухфакторной аутентификации
Так же cms многих сайтов поддерживают двухфакторную аутентификацию, например, если вы хотите на своем корпоративном сайте сделать защищенный раздел для сотрудников компании. ВАЖНЫЙ ФАКТ! НЕ ставьте галочку «Google autenteficator» для испольщования гугл аунтефикатора! QR-код не читается тогда… (странный факт)
Для написания статьи использовалась информация из следующих статей: itnan.ru/post.php? c=1&p=270571 www.digitalbears.net/? p=469
