LinOTP - installation et utilisation

Bonjour, je souhaite partager mon expérience avec LinOTP et donner un exemple d'authentification forte avec LinOTP + FreeRADIUS et Wallix Bastion.

LinOTP est une plate-forme open source flexible de niveau entreprise pour une authentification forte.

Wallix Bastion est une solution de gestion des accès privilégiés (PAM).

Habré a déjà quelques articles sur LinOTP - 1 , 2 . Ici, nous utilisons de nouvelles versions d'OS et de produits, et nous passons également par la configuration du début à la fin, allons-y.

Ce que nous utilisons:

• LinOTP 2.12.3

  
  
  
  
  

• Debian 10 ( également pris en charge )

  
  
  
  
  

• GratuitRADIUS 3

  
  
  
  
  

• Bastion Wallix 8

  
  
  
  
  

1. Ajoutez le référentiel linotp.org:

   
   
   
   
   

1. Installation de LinOTP

Ajoutez le référentiel linotp.org:

echo 'deb http://www.linotp.org/apt/debian buster linotp linotp-deps' > /etc/apt/sources.list.d/linotp.list

Pour vérifier le package, importez la clé de signature du package:

apt-get install dirmngr

apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 913DFF12F86258E5

Installez la base de données ( bases de données prises en charge ):

apt-get update

apt-get install mariadb-server

mysql_secure_installation

Enfin, installez LinOTP:

apt-get install linotp

2. Intégration avec Active Directory

Vous pouvez contacter l'administrateur Web LinOTP en suivant le lien: https: // <linotp_ip> / manage

Allez dans LinotpConfig -> UserIdResolvers et créez un nouveau UserIdResolver, en choisissant le type LDAP :

Vous devez maintenant ajouter un domaine - donnez-lui un nom et spécifiez le résolveur LDAP que vous venez de créer.

UserIdResolver- «», LinOTP. Realm-e UserIdResolver- (multitenancy, ).

User View.

3. LinOTP FreeRADIUS

FreeRADIUS :

apt-get install linotp-adminclient-cli python-ldap freeradius python-passlib python-bcrypt git libio-all-lwp-perl libconfig-file-perl libtry-tiny-perl

freeradius:

ln -s /etc/freeradius/3.0/sites-available /etc/freeradius/sites-available

ln -s /etc/freeradius/3.0/sites-enabled /etc/freeradius/sites-enabled

ln -s /etc/freeradius/3.0/clients.conf /etc/freeradius/clients.conf

ln -s /etc/freeradius/3.0/users /etc/freeradius/users

linotp-auth-freeradius-perl:

git clone https://github.com/LinOTP/linotp-auth-freeradius-perl.git

cd linotp-auth-freeradius-perl/

cp radius_linotp.pm /usr/share/linotp/radius_linotp.pm

:

nano /etc/freeradius/sites-enabled/linotp

server linotp {
listen {
  ipaddr = *
  port = 1812
  type = auth
}
listen {
  ipaddr = *
  port = 1813
  type = acct
}
authorize {
  preprocess
  update {
    &control:Auth-Type := Perl
  }
}
authenticate {
  Auth-Type Perl {
    perl
  }
}
accounting {
  unix
  }
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

sites-enabled linotp:

ls /etc/freeradius/sites-enabled

linotp

RADIUS-. Wallix Bastion:

nano /etc/freeradius/clients.conf

client Wallix {
  ipaddr = 192.168.10.10
  secret = your_secret
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

perl :

nano /etc/freeradius/users

DEFAULT Auth-type := perl
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

nano /etc/freeradius/3.0/mods-available/perl

perl {
 filename = /usr/share/linotp/radius_linotp.pm
 func_authenticate = authenticate
 func_authorize = authorize
 }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

mods-enabled eap:

ln -s /etc/freeradius/3.0/mods-available/perl /etc/freeradius/3.0/mods-enabled/perl

rm /etc/freeradius/3.0/mods-enabled/eap

, Radius:

nano /etc/linotp2/rlm_perl.ini

URL=https://<Linotp_ip>/validate/simplecheck
REALM=realm1
RESCONF=resolver1
Debug=True
SSL_CHECK=False
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

4.

. LinOTP selfservice , .

LinOTPConfig > policies . TOTP, Google Authenticator, :

- .

URL : https://<LINOTP_ip> https://<LINOTP_ip> /selfservice/login

5. Wallix Bastion

Wallix Bastion , -, .

Configuration> External authentication - RADIUS. Secret , freeRADIUS.

LDAP/AD domains ( , ) , LinOTP. Secondary authentication linotp . :

Wallix Bastion , LinOTP.

6. Troubleshoot.

Si quelque chose ne fonctionne pas, vous pouvez rechercher des erreurs:

Journaux RADIUS:

/var/log/freeradius/radius.log

Journaux LinOTP:

/var/log/linotp/linotp.log

Vous pouvez vérifier le jeton comme suit:

https://<yourlinotpserver>/validate/check?user=<login>&pass=<OTPvalue>

---

Au lieu de la sortie

Dans cet article, nous avons configuré une plate-forme locale pour le deuxième facteur d'authentification - LinOTP et l'avons vissée dans la solution Wallix Bastion avec FreeRADIUS comme connecteur.

Mon article est en anglais. - moyen

Merci pour votre temps, j'espère que les informations vous ont été utiles.