Halo, saya ingin berbagi pengalaman saya dengan LinOTP dan memberikan contoh otentikasi yang kuat menggunakan LinOTP + FreeRADIUS dan Wallix Bastion.
LinOTP adalah platform open source fleksibel tingkat perusahaan untuk otentikasi yang kuat.
Wallix Bastion adalah solusi Privileged Access Management (PAM).
Habré sudah memiliki beberapa artikel tentang LinOTP - 1 , 2 . Di sini kami menggunakan versi baru OS dan produk, dan juga melalui penyiapan dari awal hingga akhir, ayo ..
Apa yang kami gunakan:
LinOTP 2.12.3
Debian 10 ( Juga Didukung )
FreeRADIUS 3
Benteng Wallix 8
Tambahkan repositori linotp.org:
1. Pemasangan LinOTP
Tambahkan repositori linotp.org:
echo 'deb http://www.linotp.org/apt/debian buster linotp linotp-deps' > /etc/apt/sources.list.d/linotp.list
Untuk memverifikasi paket, impor kunci penandatanganan paket:
apt-get install dirmngr
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 913DFF12F86258E5
Instal database ( database yang didukung ):
apt-get update
apt-get install mariadb-server
mysql_secure_installation
Terakhir, instal LinOTP:
apt-get install linotp
2. Integrasi dengan Active Directory
Anda dapat menghubungi admin web LinOTP dengan mengikuti tautan: https: // <linotp_ip> / kelola
Pergi ke LinotpConfig -> UserIdResolvers dan buat UserIdResolver baru , pilih jenis LDAP :
Sekarang Anda harus menambahkan Realm - beri nama dan tentukan Penyelesai LDAP yang baru saja Anda buat.
UserIdResolver- «», LinOTP. Realm-e UserIdResolver- (multitenancy, ).
User View.
3. LinOTP FreeRADIUS
FreeRADIUS :
apt-get install linotp-adminclient-cli python-ldap freeradius python-passlib python-bcrypt git libio-all-lwp-perl libconfig-file-perl libtry-tiny-perl
freeradius:
ln -s /etc/freeradius/3.0/sites-available /etc/freeradius/sites-available
ln -s /etc/freeradius/3.0/sites-enabled /etc/freeradius/sites-enabled
ln -s /etc/freeradius/3.0/clients.conf /etc/freeradius/clients.conf
ln -s /etc/freeradius/3.0/users /etc/freeradius/users
linotp-auth-freeradius-perl:
git clone https://github.com/LinOTP/linotp-auth-freeradius-perl.git
cd linotp-auth-freeradius-perl/
cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm
:
nano /etc/freeradius/sites-enabled/linotp
server linotp {
listen {
ipaddr = *
port = 1812
type = auth
}
listen {
ipaddr = *
port = 1813
type = acct
}
authorize {
preprocess
update {
&control:Auth-Type := Perl
}
}
authenticate {
Auth-Type Perl {
perl
}
}
accounting {
unix
}
}
sites-enabled linotp:
ls /etc/freeradius/sites-enabled
linotp
RADIUS-. Wallix Bastion:
nano /etc/freeradius/clients.conf
client Wallix { ipaddr = 192.168.10.10 secret = your_secret }
perl :
nano /etc/freeradius/users
DEFAULT Auth-type := perl
nano /etc/freeradius/3.0/mods-available/perl
perl { filename = /usr/share/linotp/radius_linotp.pm func_authenticate = authenticate func_authorize = authorize }
mods-enabled eap:
ln -s /etc/freeradius/3.0/mods-available/perl /etc/freeradius/3.0/mods-enabled/perl
rm /etc/freeradius/3.0/mods-enabled/eap
, Radius:
nano /etc/linotp2/rlm_perl.ini
URL=https://<Linotp_ip>/validate/simplecheck REALM=realm1 RESCONF=resolver1 Debug=True SSL_CHECK=False
4.
. LinOTP selfservice , .
LinOTPConfig > policies . TOTP, Google Authenticator, :
URL : https://<LINOTP_ip> https://<LINOTP_ip> /selfservice/login
5. Wallix Bastion
Wallix Bastion , -, .
Configuration> External authentication - RADIUS. Secret , freeRADIUS.
LDAP/AD domains ( , ) , LinOTP. Secondary authentication linotp . :
Wallix Bastion , LinOTP.
6. Troubleshoot.
Jika ada yang tidak berfungsi, Anda dapat mencari kesalahan:
Log RADIUS:
/var/log/freeradius/radius.log
Log LinOTP:
/var/log/linotp/linotp.log
Anda dapat memeriksa token sebagai berikut:
https://<yourlinotpserver>/validate/check?user=<login>&pass=<OTPvalue>
Bukan keluaran
Pada artikel ini, kami telah mengonfigurasi platform lokal untuk faktor otentikasi kedua - LinOTP dan memasangnya ke dalam solusi Wallix Bastion dengan FreeRADIUS sebagai konektor.
Artikel saya dalam bahasa Inggris. - medium
Terima kasih atas waktunya, semoga informasinya bermanfaat.