このソリューションは非常に独創的なものではなく、インターネット上にあるさまざまなソリューションを組み合わせたものです。
だから、与えられた
ActiveDirectory ドメイン。
今日の多くのように、VPNを使用するドメインユーザー。Fortigate
はVPNゲートウェイとして機能します。 VPNクライアントのパスワードを保存することは、セキュリティポリシーによって禁止されています。独自のトークンに関するFortinetの ポリシーは、redneckよりも少なく呼び出すことはできません。10個もの無料トークンがあり、残りは非常に非コッシャー価格です。オープンソースが欲しいので、RSASecureIDやDuoなどは考慮していません。前提条件:* nixのホストとFreeRADIUSのインストールは、SSSD -ドメインを締結し、ドメインユーザーが簡単に認証することができます。追加パッケージ:
shellinabox、figlet、freeeradius-ldap、rebel.tlfフォント(https://github.com/xero/figlet-fontsリポジトリから)。
私の例では、CentOS7.8です。
作業のロジックは次のとおりです。VPNに接続する場合、ユーザーはパスワードの代わりにドメインログインとOTPを入力する必要があります。
サービスの設定
で/etc/raddb/radiusd.conf、唯一のユーザとグループの下でどのFreeRADIUSのが開始されている変更されているので、にradiusdのサービスは、すべてのサブディレクトリ内のファイルを読むことができなければなりません/ホーム/。
user = root
group = root
Fortigate 設定でグループを使用できるようにするには、ベンダー固有の属性を渡す必要があります。これを行うには、raddb / policy.dディレクトリに、次の内容のファイルを作成します。
group_authorization {
if (&LDAP-Group[*] == "CN=vpn_admins,OU=vpn-groups,DC=domain,DC=local") {
update reply {
&Fortinet-Group-Name = "vpn_admins" }
update control {
&Auth-Type := PAM
&Reply-Message := "Welcome Admin"
}
}
else {
update reply {
&Reply-Message := "Not authorized for vpn"
}
reject
}
}
freeradius-ldapをディレクトリraddb / mods-availableファイルに インストールした後、ldapが作成されます。raddb / mods対応
ディレクトリへのシンボリックリンクを作成する必要があります。
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap私はその内容をこのフォームに持ってきます:
ldap {
server = 'domain.local'
identity = 'CN=freerad_user,OU=users,DC=domain,DC=local'
password = "SupeSecretP@ssword"
base_dn = 'dc=domain,dc=local'
sasl {
}
user {
base_dn = "${..base_dn}"
filter = "(sAMAccountname=%{%{Stripped-User-Name}:-%{User-Name}})"
sasl {
}
scope = 'sub'
}
group {
base_dn = "${..base_dn}"
filter = '(objectClass=Group)'
scope = 'sub'
name_attribute = cn
membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = 'memberOf'
}
}ファイルraddb / sites-enabled / defaultおよびraddb / sites-enabled / inner-tunnelのauthorizeセクションに、使用するポリシーの名前(group_authorization)を追加します。重要な点-ポリシーの名前は、policy.dディレクトリ内のファイルの名前ではなく、中括弧の前のファイル内のディレクティブによって決定されます。同じファイルの認証
セクションで、pamのコメントを解除します。clients.conf ファイルに、Fortigateが接続するパラメーターを記述します。
client fortigate {
ipaddr = 192.168.1.200
secret = testing123
require_message_authenticator = no
nas_type = other
}
Pam.d / radiusd モジュール構成:
#%PAM-1.0
auth sufficient pam_google_authenticator.so
auth include password-auth
account required pam_nologin.so
account include password-auth
password include password-auth
session include password-auth
googleオーセンティケーターでfreeradius バンドルを実装するためのデフォルトのオプションには、ユーザーがユーザー名/パスワード+ OTPの形式で資格情報を入力することが含まれます。 あなたの頭の上に落ちる呪いの数を提示した後、デフォルト用いた場合にFreeRADIUSのバンドルをしてGoogle認証、それはの構成を使用することが決定されたのPAMモジュールをのみチェックするようにGoogle認証トークンを。 ユーザーが接続すると、次のことが起こります。
- Freeradiusは、ドメイン内および特定のグループ内のユーザーの存在を確認し、成功した場合はOTPトークンを確認します。
「300人以上のユーザーにOTPを登録するにはどうすればよいですか?」と思うまで、すべてが十分に良さそうに見えました。
ユーザーは、freeradiusを使用して自分のアカウントでサーバーにログインし、Google認証アプリケーションを実行する必要があります。これにより、ユーザーのアプリケーションのQRコードが生成されます。ここで、shellinaboxを.bash_profileと組み合わせて使用すると便利です。
[root@freeradius ~]# yum install -y shellinabox
デーモン構成ファイルは、/ etc / sysconfig / shellinaboxにあります。
そこにポート443を示し、証明書を指定できます。
[root@freeradius ~]#systemctl enable --now shellinaboxdユーザーは、リンクをたどり、ドメインクレジットを入力して、アプリケーションのQRコードを受け取るだけです。
アルゴリズムは次のとおりです。
- ユーザーはブラウザーを介してマシンにログインします。
- ドメインユーザーがチェックされます。そうでない場合、アクションは実行されません。
- ユーザーがドメインユーザーの場合、Administratorsグループのメンバーシップがチェックされます。
- 管理者でない場合は、GoogleAutheticatorが構成されているかどうかを確認します。そうでない場合は、QRコードとユーザーログアウトが生成されます。
- 管理者ではなく、Google Authenticatorが設定されている場合は、ログアウトするだけです。
- 管理者の場合は、もう一度GoogleAuthenticatorを確認してください。構成されていない場合、QRコードが生成されます。
すべてのロジックは/etc/skel/.bash_profileを使用して実行されます。
cat /etc/skel/.bash_profile
# .bash_profile
# Get the aliases and functions
if [ -f ~/.bashrc ]; then
. ~/.bashrc
fi
# User specific environment and startup programs
# Make several commands available from user shell
if [[ -z $(id $USER | grep "admins") || -z $(cat /etc/passwd | grep $USER) ]]
then
[[ ! -d $HOME/bin ]] && mkdir $HOME/bin
[[ ! -f $HOME/bin/id ]] && ln -s /usr/bin/id $HOME/bin/id
[[ ! -f $HOME/bin/google-auth ]] && ln -s /usr/bin/google-authenticator $HOME/bin/google-auth
[[ ! -f $HOME/bin/grep ]] && ln -s /usr/bin/grep $HOME/bin/grep
[[ ! -f $HOME/bin/figlet ]] && ln -s /usr/bin/figlet $HOME/bin/figlet
[[ ! -f $HOME/bin/rebel.tlf ]] && ln -s /usr/share/figlet/rebel.tlf $HOME/bin/rebel.tlf
[[ ! -f $HOME/bin/sleep ]] && ln -s /usr/bin/sleep $HOME/bin/sleep
# Set PATH env to <home user directory>/bin
PATH=$HOME/bin
export PATH
else
PATH=PATH=$PATH:$HOME/.local/bin:$HOME/bin
export PATH
fi
if [[ -n $(id $USER | grep "domain users") ]]
then
if [[ ! -e $HOME/.google_authenticator ]]
then
if [[ -n $(id $USER | grep "admins") ]]
then
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/stor/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password connecting to VPN."
else
figlet -t -f $HOME/bin/rebel.tlf "Welcome to Company GAuth setup portal"
sleep 1.5
echo "Please, run any of these software on your device, where you would like to setup OTP:
Google Autheticator:
AppStore - https://apps.apple.com/us/app/google-authenticator/id388497605
Play Market - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
FreeOTP:
AppStore - https://apps.apple.com/us/app/freeotp-authenticator/id872559395
Play Market - https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp&hl=en
And prepare to scan QR code.
"
sleep 5
google-auth -f -t -w 3 -r 3 -R 30 -d -e 1
echo "Congratulations, now you can use an OTP token from application as a password to VPN."
logout
fi
else
echo "You have already setup a Google Authenticator"
if [[ -z $(id $USER | grep "admins") ]]
then
logout
fi
fi
else
echo "You don't need to set up a Google Authenticator"
fi
セットアップを強化する:
- Radiusサーバーを作成する
- 必要に応じて必要なグループを作成し、グループごとにアクセスを区別します。Fortigateのグループ名は、ベンダー固有の属性 Fortinet-Group-Nameで渡されるグループと一致する必要があります。
- 必要なSSLポータルを編集します。
- ポリシーにグループを追加します。
このソリューションの利点:
- FortigateオープンソースソリューションではOTP認証の可能性があります。
- VPN経由で接続するときにドメインパスワードを入力するユーザーを除外するため、接続プロセスが多少簡素化されます。6桁のパスワードは、セキュリティポリシーよりも簡単に入力できます。その結果、「VPNに接続できません」という件名のチケットが減少します。
PSこのソリューションを、チャレンジレスポンスを備えた本格的な2要素認証にまで引き上げる予定です。
更新:
約束通り、チャレンジレスポンスオプションまで仕上げました。
したがって
、/ etc / raddb / sites-enabled / defaultファイルでは、authorizeセクションは次のようになります。
authorize {
filter_username
preprocess
auth_log
chap
mschap
suffix
eap {
ok = return
}
files
-sql
#-ldap
expiration
logintime
if (!State) {
if (&User-Password) {
# If !State and User-Password (PAP), then force LDAP:
update control {
Ldap-UserDN := "%{User-Name}"
Auth-Type := LDAP
}
}
else {
reject
}
}
else {
# If State, then proxy request:
group_authorization
}
pap
}
認証 セクションは次のようになります。
authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap
}
mschap
digest
# Attempt authentication with a direct LDAP bind:
Auth-Type LDAP {
ldap
if (ok) {
update reply {
# Create a random State attribute:
State := "%{randstr:aaaaaaaaaaaaaaaa}"
Reply-Message := "Please enter OTP"
}
# Return Access-Challenge:
challenge
}
}
pam
eap
}
これで、ユーザーは次のアルゴリズムに従って検証されます。
- ユーザーはVPNクライアントにドメインクレジットを入力します。
- Freeradiusはアカウントとパスワードの有効性をチェックします
- パスワードが正しい場合、トークンの要求が送信されます。
- トークンが検証されます。
- 利益)。