此解决方案不是超级原始的东西,而是Internet上发现的各种不同解决方案的组合。
所以,给定
Active Directory 域。
像今天一样,使用VPN的域用户。Fortigate
充当VPN网关。 安全策略禁止为VPN客户端保存密码。Fortinet关于自己的代币的 政策不能被称为“乡下人”-有多达10个免费代币,其余的价格是非常低廉的。 RSASecureID,Duo等尚未考虑,因为我想要开源。先决条件:*安装了freeradius的nix主机,sssd-输入到域中,域用户可以轻松地对其进行身份验证。其他套餐:
来自https://github.com/xero/figlet-fonts存储库的shellinabox,figlet,freeeradius-ldap,rebel.tlf字体。 在我的示例中-CentOS 7.8。 工作逻辑如下:当连接到VPN时,用户必须输入域登录名和OTP而不是密码。
设置服务
在/etc/raddb/radiusd.conf中,仅更改了启动freeradius的用户和组,因为半径服务必须能够读取/ home /的所有子目录中的文件。
user = root
group = root
为了能够在Fortigate设置中使用组,您需要传递Vendor Specific Attribute。为此,请在raddb / policy.d目录中,创建一个包含以下内容的文件:
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
在目录raddb / mods-available文件中 安装freeradius-ldap之后,将创建ldap。 您需要创建一个指向raddb / mods-enabled目录的符号链接。
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap我将其内容转换为以下形式:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}在授权部分的raddb / sites-enabled / default和raddb / sites-enabled / inner-tunnel文件中,添加将使用的策略的名称-group_authorization。重要的一点-策略的名称不是由policy.d目录中文件的名称确定的,而是由花括号前文件中的指令确定的。 在相同文件的authenticate部分中,取消对pam的注释。 在clients.conf文件中,编写Fortigate将用来连接的参数:
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
Pam.d / radius 模块配置:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
使用Google身份验证器 实施freeradius捆绑包的默认选项涉及用户输入以下格式的凭据:用户名/密码+ OTP。 给出了将要引起的诅咒数量后,在将默认的freeradius捆绑包与Google Authenticator结合使用的情况下,决定使用pam模块配置以便仅验证Google Authenticator令牌。 当用户连接时,将发生以下情况:
- Freeradius检查用户在域和特定组中的存在,如果成功,则检查OTP令牌。
一切看起来都不错,直到我想到:“如何为300多个用户注册OTP?”
用户必须使用freeradius并以其帐户登录服务器,然后运行Google身份验证器应用程序,该应用程序将为用户生成该应用程序的QR码。这就是shellinabox与.bash_profile结合使用的地方。
[root@freeradius ~]# yum install -y shellinabox
守护程序配置文件位于/ etc / sysconfig / shellinabox中。
我在此处指示端口443,您可以指定证书。
[root@freeradius ~]#systemctl enable --now shellinaboxd用户只需要点击链接,输入域信用并接收该应用程序的QR码。
算法如下:
- 用户通过浏览器登录机器。
- 域用户已检查。如果不是,则不采取任何措施。
- 如果用户是域用户,则将检查Administrators组中的成员身份。
- 如果不是管理员,它将检查是否配置了Google Autheticator。如果不是,则生成QR码和用户注销。
- 如果不是管理员并且配置了Google Authenticator,则只需注销即可。
- 如果是管理员,则再次检查Google Authenticator。如果未配置,则会生成QR码。
所有逻辑都使用/etc/skel/.bash_profile完成。
猫/etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
强制设置:
- 创建Radius服务器
- 我们创建必要的组,必要时按组区分访问。Fortigate上的组名称必须与在Vendor特定属性 Fortinet-Group-Name中传递的组匹配。
- 编辑所需的SSL门户。
- 将组添加到策略。
该解决方案的优点:
- Fortigate开源解决方案上可能会进行OTP身份验证。
- 通过VPN连接时,它排除了用户输入域密码的情况,这在某种程度上简化了连接过程。6位密码比安全策略更容易输入。结果,主题为“无法连接到VPN”的票证数量减少了。
PS:有计划将这种解决方案加强为具有挑战响应功能的成熟的两要素身份验证。
更新:
按照承诺,我完成了挑战-响应选项。
因此:
在/ etc / raddb / sites-enabled / default文件中,authorize部分如下所示:
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
现在 ,身份验证部分如下所示:
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
现在,根据以下算法验证用户:
- 用户在VPN客户端中输入域信用。
- Freeradius检查帐户和密码的有效性
- 如果密码正确,则发送令牌请求。
- 令牌已验证。
- 利润)。