🎅 ♓️ 🤘🏻 LinOTP दो-कारक प्राधिकरण सर्वर 👨‍⚕️ 💰 👨🏻‍🚒

आज मैं कॉर्पोरेट नेटवर्क, साइटों, सेवाओं की सुरक्षा के लिए दो-कारक प्रमाणीकरण सर्वर को कॉन्फ़िगर करने का तरीका साझा करना चाहता हूं। सर्वर बंडल काम करेगा: LinOTP + FreeRadius।

हमें इसकी आवश्यकता क्यों है?
यह एक पूरी तरह से मुक्त, सुविधाजनक समाधान है, अपने नेटवर्क के भीतर, तीसरे पक्ष के प्रदाताओं से स्वतंत्र है।

यह सेवा अन्य ओपन सोर्स उत्पादों के विपरीत बहुत सुविधाजनक, काफी दृश्य है, और बड़ी संख्या में कार्यों और नीतियों (उदाहरण के लिए, लॉगिन + पासवर्ड + (पिन + ओटीपीटोकन)) का भी समर्थन करती है। एपीआई के माध्यम से यह एसएमएस भेजने वाली सेवाओं के साथ एकीकृत होता है (LinOTP कॉन्फ़िग-> प्रोवाइडर कॉन्फिगरेशन-> एसएमएस प्रोवाइडर), Google ऑटेंटिसिपेटर जैसे मोबाइल एप्लिकेशन के लिए कोड बनाता है और बहुत कुछ। मुझे लगता है कि यह लेख में मानी जाने वाली सेवा से अधिक सुविधाजनक है।

यह सर्वर सिस्को एएसए, ओपनवीपीएन सर्वर, अपाचे 2, और वास्तव में लगभग सभी चीजों के साथ काम करता है जो एक RADIUS सर्वर के माध्यम से प्रमाणीकरण का समर्थन करता है (उदाहरण के लिए, डेटा सेंटर में एसएसएच के लिए)।

यह आवश्यक है:

1) डेबियन 8 (जेसी) - आवश्यक! (लेख 9 के अंत में डेबियन 9 पर एक परीक्षण स्थापना वर्णित है)

शुरू करें:

डेबियन 8 स्थापित करना।

LinOTP भंडार जोड़ें:

# echo 'deb http://www.linotp.org/apt/debian jessie linotp' > /etc/apt/sources.list.d/linotp.list

कुंजी जोड़ें:

 # gpg --search-keys 913DFF12F86258E5

कभी-कभी "क्लीन" इंस्टॉलेशन के साथ, इस कमांड को निष्पादित करने के बाद, डेबियन मुद्दे:

 gpg:   `/root/.gnupg' gpg:     `/root/.gnupg/gpg.conf' gpg: :   `/root/.gnupg/gpg.conf'       gpg:    `/root/.gnupg/secring.gpg' gpg:    `/root/.gnupg/pubring.gpg' gpg:     ( --keyserver) gpg:      :  URI

यह gnupg का प्रारंभिक सेटअप है। चिंता की कोई बात नहीं। बस फिर से कमांड चलाते हैं।
डेबियन द्वारा पूछा गया:

 gpg:  "913DFF12F86258E5"  hkp  keys.gnupg.net (1) LSE LinOTP2 Packaging <linotp2@lsexperts.de> 2048 bit RSA key F86258E5, : 2010-05-10 Keys 1-1 of 1 for "913DFF12F86258E5".  , N)   Q) >

उत्तर: १

अगला:

 # gpg --export 913DFF12F86258E5 | apt-key add -

 # apt-get update

Mysql स्थापित करें। सिद्धांत रूप में, आप एक अलग sql सर्वर का उपयोग कर सकते हैं, लेकिन सादगी के लिए मैं इसका उपयोग करूंगा, जैसा कि LinOTP के लिए अनुशंसित है।

(अतिरिक्त जानकारी, जिसमें लाइनओटीपी डेटाबेस को फिर से जोड़ने के बारे में है, लिंक पर आधिकारिक दस्तावेज में पाया जा सकता है। उसी स्थान पर, आप कमांड बदल सकते हैं: यदि आप पहले से ही आरएसक्यूएल स्थापित कर चुके हैं तो सेटिंग्स को बदलने के लिए डीएनपीके-पुन: कॉन्फ़िगर करें।

 # apt-get install mysql-server

 # apt-get update

(अपडेट को फिर से जाँचने से चोट नहीं लगेगी)
LinOTP और ऐड-ऑन मॉड्यूल स्थापित करें:

 # apt-get install linotp

हम इंस्टॉलर के सवालों का जवाब देते हैं:
Apache2 का उपयोग करें: हाँ
व्यवस्थापक के लिए एक पासवर्ड बनाएँ Linotp: "YourPassword"
स्व-हस्ताक्षरित प्रमाण पत्र उत्पन्न करें ?: हाँ
MySQL का उपयोग करें ?: हाँ
डेटाबेस कहां है: लोकलहोस्ट
सर्वर पर LinOTP डेटाबेस (डेटाबेस का नाम) बनाएँ: LinOTP2
डेटाबेस के लिए एक अलग उपयोगकर्ता बनाएँ: LinOTP2
हमने उपयोगकर्ता को पासवर्ड सेट किया: "YourPassword"
क्या मुझे अब आधार बनाना चाहिए? (ऐसा कुछ "क्या आप सुनिश्चित हैं कि आप चाहते हैं ..."): हाँ
MySQL रूट पासवर्ड दर्ज करें जो इसकी स्थापना के दौरान बनाया गया था: "YourPassword"
हो गया।

(वैकल्पिक, आप सेट नहीं कर सकते)

 # apt-get install linotp-adminclient-cli

(वैकल्पिक, आप सेट नहीं कर सकते)

 # apt-get install libpam-linotp

और इसलिए अब हमारा Linotp वेब इंटरफेस यहां उपलब्ध है:

 "<b>https</b>: //IP_/manage"

मैं थोड़ी देर बाद वेब इंटरफेस में सेटिंग्स के बारे में बात करूंगा।

अब, सबसे महत्वपूर्ण बात! FreeRadius उठाएं और इसे Linotp से लिंक करें।

FreeRadius और LinOTP मॉड्यूल स्थापित करें

 # apt-get install freeradius linotp-freeradius-perl

बैकअप क्लाइंट और उपयोगकर्ता त्रिज्या कॉन्फ़िगर करता है।

 # mv /etc/freeradius/clients.conf /etc/freeradius/clients.old

 # mv /etc/freeradius/users /etc/freeradius/users.old

एक खाली क्लाइंट फ़ाइल बनाएँ:

 # touch /etc/freeradius/clients.conf

हम अपनी नई कॉन्‍फ़िगर फ़ाइल (उदाहरण के रूप में बैकअप कॉन्‍फ़िगर का उपयोग किया जा सकता है) को संपादित करते हैं

 # nano /etc/freeradius/clients.conf

 client 192.168.188.0/24 { secret = passwd #     }

अगला, उपयोगकर्ता फ़ाइल बनाएँ:

 # touch /etc/freeradius/users

हम त्रिज्या को बताते हुए फ़ाइल को संपादित करते हैं कि हम प्रमाणीकरण के लिए पर्ल का उपयोग करेंगे।

 # nano /etc/freeradius/users

 DEFAULT Auth-type := perl

अगला, फ़ाइल / etc / freeradius / मॉड्यूल / पर्ल संपादित करें

 # nano /etc/freeradius/modules/perl

हमें मॉड्यूल पैरामीटर में perl linotp स्क्रिप्ट का पथ लिखने की आवश्यकता है:

 Perl { ....... ......... <source lang="bash">module = /usr/lib/linotp/radius_linotp.pm

.....
अगला, हम एक फाइल बनाते हैं जिसमें हम कहते हैं कि किस (डोमेन, डेटाबेस या फाइल) से डेटा लेना है।

 # touch /etc/linotp2/rlm_perl.ini

 # nano /etc/linotp2/rlm_perl.ini

 URL=https://IP__LinOTP_(192.168.XX)/validate/simplecheck REALM=webusers1c RESCONF=LocalUser Debug=True SSL_CHECK=False

यहां मैं थोड़ा और ध्यान दूंगा, क्योंकि यह महत्वपूर्ण है:

टिप्पणियों के साथ फाइल का पूरा विवरण:
लाइनटॉप सर्वर का #IP (हमारे लिनोट सर्वर का आईपी पता)
URL = https: //172.17.14.103/validate/simplecheck
# हमारा क्षेत्र जिसे हम LinOTP वेब इंटरफेस में बनाएंगे।)
REALM = रियरएम 1
# जूज़ेवेर समूह का नाम जो लिनॉट पी वेबमॉर्ड में बनाया गया है।
RESCONF = flat_file
# गोद लेने वाला: यदि सब कुछ ठीक लगता है तो टिप्पणी करें
डिबग = सत्य
#optional: इसका उपयोग करें, यदि आपके पास स्वनिर्धारित प्रमाण पत्र हैं, अन्यथा टिप्पणी करें (एसएसएल यदि हम अपना प्रमाण पत्र बनाते हैं और इसे सत्यापित करना चाहते हैं)
SSL_CHECK = गलत

अगला, फ़ाइल / etc / freeradius / sites-available / linotp बनाएँ

 # touch /etc/freeradius/sites-available/linotp

 # nano /etc/freeradius/sites-available/linotp

और इसमें विन्यास को कॉपी करें (अनुचित रूप से कुछ भी संपादित न करें):

 authorize { #normalizes maleformed client request before handed on to other modules (see '/etc/freeradius/modules/preprocess') preprocess # If you are using multiple kinds of realms, you probably # want to set "ignore_null = yes" for all of them. # Otherwise, when the first style of realm doesn't match, # the other styles won't be checked. #allows a list of realm (see '/etc/freeradius/modules/realm') IPASS #understands something like USER@REALM and can tell the components apart (see '/etc/freeradius/modules/realm') suffix #understands USER\REALM and can tell the components apart (see '/etc/freeradius/modules/realm') ntdomain # Read the 'users' file to learn about special configuration which should be applied for # certain users (see '/etc/freeradius/modules/files') files # allows to let authentification to expire (see '/etc/freeradius/modules/expiration') expiration # allows to define valid service-times (see '/etc/freeradius/modules/logintime') logintime # We got no radius_shortname_map! pap } #here the linotp perl module is called for further processing authenticate { perl }

अगला, एक सिम लिंक बनाएं:

 # ln -s ../sites-available/linotp /etc/freeradius/sites-enabled

व्यक्तिगत रूप से, मैं डिफ़ॉल्ट त्रिज्या साइटों को मारता हूं, लेकिन अगर आपको उनकी आवश्यकता है, तो आप या तो उनके कॉन्फ़िगरेशन को संपादित कर सकते हैं या उन्हें अक्षम कर सकते हैं।

 # rm /etc/freeradius/sites-enabled/default

 # rm /etc/freeradius/sites-enabled/inner-tunnel

 # service freeradius reload

अब वेब चेहरे पर वापस जाएं और इसे और विस्तार से देखें:
ऊपरी दाएं कोने में, LINOTP कॉन्फ़िग -> UserIdResolvers -> नया पर क्लिक करें
चुनें कि हम क्या चाहते हैं: LDAP (AD win, LDAP samba), या SQL, या स्थानीय फ्लैटफ़ाइल उपयोगकर्ता।

आवश्यक फ़ील्ड भरें।

अगला, REALMS बनाएं:
ऊपरी दाएं कोने में, LINOTP कॉन्फ़िग -> स्थानों -> नया पर क्लिक करें।
और हमारे REALMS को एक नाम दें, साथ ही पहले बनाए गए UserIdResolvers पर क्लिक करें।

FreeRadius को यह सब डेटा /etc/linotp2/rlm_perl.ini फ़ाइल में चाहिए, जो मैंने ऊपर लिखा था, इसलिए यदि आपने इसे संपादित नहीं किया है, तो इसे अभी करें।

सभी सर्वर कॉन्फ़िगर किया गया है।

पूरक:

डेबियन 9 पर linotP की स्थापना ( prikhodkov के लिए धन्यवाद)
# LinotP रिपॉजिटरी को /etc/apt/sources.list.d/linotp.list में जोड़ें और शलजम अपडेट करें:

इको " deb linotp.org/apt/debian stretch linotp"> /etc/apt/sources.list.d/linotp.list
apt-get update
apt-get install dirmngr
apt-key adv --recv-keys 913DFF12F86258E5

# स्थापित करें और मूल रूप से mysql सर्वर को कॉन्फ़िगर करें:

apt-get स्थापित mysql-server

# Linotp और freeradius संकुल स्थापित करें

apt-get install linotp linotp-adminclient-cli python-ldap freeradius python-passlib python-bcrypt git libio-all-lwp-perl libconfig-file-perl libtry-small-perl
# Freeradius विन्यास फाइल के लिए सहानुभूति बनाएँ

ln -s /etc/freeradius/3.0/sites-available / etc / freeradius / साइटें उपलब्ध
ln -s /etc/freeradius/3.0/sites-enabled / etc / freeradius / साइटें सक्षम हैं
ln -s /etc/freeradius/3.0/clients.conf /etc/freeradius/clients.conf
ln -s /etc/freeradius/3.0/users / etc / freeradius / उपयोगकर्ता

# Linotp-Cort-freeradius-perl मॉड्यूल इंस्टॉल करें

git क्लोन क्लोन github.com/LinOTP/linotp-auth-freeradius-perl
सीडी लिनोटप-कोर-फ्रीराडियस-पर्ल /
cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

# हम इस फॉर्म में linotp के लिए freeradius कॉन्फ़िगरेशन फ़ाइल लाते हैं

बिल्ली / आदि / फ़्रीराडियस / साइट-सक्षम / लिनोटप

सर्वर लाइनटॉप {
सुनो {
ipaddr = *
port = 1812
प्रकार =
}
सुनो {
ipaddr = *
पोर्ट = 1813
प्रकार = एसीटेट
}
अधिकृत करें {
preprocess
अद्यतन {
और नियंत्रण: प्रामाणिक-प्रकार: = पर्ल
}
}
प्रमाणित करें {
प्रामाणिक-प्रकार पर्ल {
पर्ल
}
}
लेखांकन {
यूनिक्स
}
}
# Freeradius के लिए सक्षम साइटों में हम केवल linotp छोड़ते हैं

ls / etc / freeradius / साइट्स-सक्षम
linotp

# ऐसे होस्ट जोड़ें जिनसे हम फ्रीरेडियस पर कनेक्शन की अनुमति देते हैं

cat /etc/freeradius/clients.conf

ग्राहक host1 {
ipaddr = IP_1
netmask = 32
गुप्त = 'SECRET_1'
}
ग्राहक host2 {
ipaddr = IP_2
netmask = 32
गुप्त = 'SECRET_2'
}
# उपयोगकर्ता आधार के रूप में हम पर्ल कनेक्टर का उपयोग करते हैं

cat / etc / freeradius / उपयोगकर्ता

DEFAULT प्रामाणिक-प्रकार: = perl
}

cat /etc/freeradius/3.0/mods-available/perl

पर्ल {
फ़ाइल नाम = /usr/share/linotp/radius_linotp.pm
func_authenticate = प्रमाणित करना
func_authorize = प्राधिकृत करना

}
# मॉड-इनेबल्ड डायरेक्टरी में, पेर्ल मॉड्यूल के लिए मॉड्स-अवेलेबल डायरेक्टरी से सिमिलिंक बनाते हैं और eap को हटाते हैं

ln -s /etc/freeradius/3.0/mods-available/perl/etc/freeradius/3.0/mods-enabled/perl
rm /etc/freeradius/3.0/mods-enabled/eap

# Linotp चलाने के लिए ऑडिट करें

linotp-create-audkeykeys -f linotp.ini
# हम त्रिज्या में आने वाले डीडी की जांच करने के लिए कनेक्टर का एक कॉन्फ़िगरेशन बनाते हैं

cat /etc/linotp2/rlm_perl.ini

URL = https: // IP_LINOTP_SRV / मान्य / सरल चेक
REALM = दायरे
RESCONF = लोकलयूज़र
डिबग = सत्य
SSL_CHECK = गलत

मैं सिस्टम स्थापित करने के कुछ लिंक नीचे छोड़ दूँगा, जिन्हें अक्सर दो-कारक प्रमाणीकरण द्वारा संरक्षित करने की आवश्यकता होती है:
Apache2 में दो-कारक प्रमाणीकरण कॉन्फ़िगर करना

सिस्को एएसए के साथ सेटअप (एक और टोकन पीढ़ी सर्वर वहां उपयोग किया जाता है, लेकिन एएसए की सेटिंग्स समान हैं)।

दो-कारक प्रमाणीकरण के साथ वीपीएन

Ssh में दो-कारक प्रमाणीकरण स्थापित करना (LinOTP का उपयोग वहां भी किया जाता है) - लेखक के लिए धन्यवाद। तुम भी वहाँ LiOTP नीतियों को कॉन्फ़िगर करने के बारे में दिलचस्प बातें पा सकते हैं।

इसके अलावा, कई साइटों के सेमी टू-फैक्टर ऑथेंटिकेशन का समर्थन करते हैं (लिनोथ का भी वर्डप्रेस के लिए गिथब पर अपना विशेष मॉड्यूल है), उदाहरण के लिए, यदि आप अपनी कॉर्पोरेट वेबसाइट पर कंपनी के कर्मचारियों के लिए एक सुरक्षित अनुभाग बनाना चाहते हैं।
महत्वपूर्ण तथ्य! Google प्रमाणक का उपयोग करने के लिए बॉक्स "Google ऑटेंटिफिकेटर" की जांच न करें! QR कोड तब नहीं पढ़ा जा सकता है ... (अजीब तथ्य)

लेख लिखने के लिए, जानकारी का उपयोग निम्नलिखित लेखों से किया गया था:
itnan.ru/post.php?c=1&p=270571
www.digitalbears.net/?p=469

लेखकों को धन्यवाद।

LinOTP दो-कारक प्राधिकरण सर्वर

More articles: