5 votos

2FA través de freeRADIUS, haciendo caso omiso de contraseña

He sido encargado de la configuración de freeRADIUS pedir a un usuario para su segundo factor de autenticación (por ejemplo. Google Authenticator OTP), PERO sin comprobar primero la contraseña del usuario.

Estoy entrando en esto completamente ciego, sin previo RADIO de la experiencia. Tenemos una aplicación web que le pide al usuario para iniciar sesión en la autenticación de contraseña ya está hecho. A continuación, necesitamos pedir al usuario un segundo factor de autenticación para llevar a cabo determinadas acciones. No queremos que pedir varias veces que el usuario introduzca su contraseña (y el almacenamiento en caché localmente es un no-no, al parecer) así que lo que nos gustaría hacer es configurar freeRADIUS de alguna manera, de modo que:

  • Ignorar el valor que se le pasen por la contraseña en la solicitud inicial
  • Devolver una respuesta al desafío que se le pedirá al usuario que introduzca su segundo factor de autenticación (por ejemplo. OTP)

Esto es incluso factible? Como he dicho, no tengo ninguna antes de la RADIO de la experiencia, así que disculpas si esto es una pregunta tonta.

1voto

Alex Forbes Puntos 1357

Radio es una red de autenticación/autorización/contabilidad protocolo. Opera en la capa 3 del modelo OSI.

La aplicación web funciona en la capa 7.

Así que hay un poco de un mal partido aquí. Usted puede usar Radius para autenticar las conexiones de red, tales como wi-fi o de la red de puertos, pero se necesita algo basado en http para su aplicación web.

Estoy haciendo algunas suposiciones, pero suena como si usted tiene un servidor Radius para la autenticación de usuarios en la red, y han aprovechado la misma base de datos de los usuarios para la autenticación de los usuarios en la aplicación web. Si o no la aplicación web está hablando el protocolo Radius para autenticar a los usuarios, los usuarios no están hablando de Radio cuando se ingresa un nombre de usuario y contraseña en una página web, por lo que el Radio no va a ayudar con esto - se debe hacer en la aplicación web.

Si la aplicación web tiene acceso al servidor radius, es posible determinar que el usuario se autentica y autoriza/OTP símbolo del sistema con base en eso, pero esta es la web de la lógica de la aplicación. Ninguna cantidad de la configuración de FreeRadius puede lograr esto por usted.

Así que te recomiendo tomar un paso atrás y considerar que su usuario se almacenan los datos. Mientras que usted podría estar autenticación contra un servidor freeRadius, el Radio es sólo un protocolo, y en el backend existe una base de datos de los usuarios. Esto podría ser un servidor LDAP, base de datos SQL, pam o un archivo de texto simple.

Suponiendo que tienen en común un usuario de base de datos, puede agregar algún tipo de Oauth/SAML sola aplicación de inicio de sesión (Octa y PingID son algunos ejemplos comerciales) para el flujo de autenticación de cada servicio, por lo que un inicio de sesión en un mismo lugar se lleva a efecto en otro. Con inicio de sesión único en su lugar, usted puede modificar su aplicación web para requerir el segundo factor en ciertos puntos (que tendría que saber el usuario existente de la FISCALÍA secreto, o podría requerir que crear otra para este propósito), o usted podría utilizar algún tipo de política y reauth si el SSO de la tecnología de uso compatible.

En conclusión, no veo manera de hacer esto en freeRadius, y aun si pudiera usted probablemente no debería. Y para hacer la parte de la autorización que siempre van a tener que modificar la aplicación, a menos que se implemente un horrible hombre-en-el-medio " proxy totalmente compromete la seguridad.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: