我的任务是设置 freeRADIUS 以提示用户输入他们的第二个身份验证因素(例如 Google Authenticator OTP),但无需先检查用户的密码。
我完全是盲目的,之前没有任何 RADIUS 经验。我们有一个提示用户登录的 web 应用程序,因此密码验证已经完成。然后,我们需要提示用户提供第二个身份验证因素以执行某些操作。我们不想反复要求用户输入他们的密码(显然,在本地缓存它是不行的)所以我们想做的是以某种方式配置 freeRADIUS 以便它:
- 忽略我们在初始请求中为密码传递的值
- 返回一个质询响应,它将提示用户输入他们的第二个身份验证因素(例如 OTP)
这甚至可行吗?就像我说的,我之前没有任何 RADIUS 经验,所以如果这是一个愚蠢的问题,我深表歉意。
我自己想通了。如果有人感兴趣,它与 /etc/pam.d/radiusd 中的配置有关
首先,按照以下教程之一将 Google Authenticator 设置为您的 freeRADIUS 服务器上的第二个因素:
https ://networkjutsu.com/freeradius-google-authenticator/ https://www.supertechguy.com/help/security/freeradius -谷歌身份验证/
在对 /etc/pam.d/radiusd 进行更改时,请使用以下配置之一:
提示输入密码和 Google Auth OTP:
验证必需 pam_google_authenticator.so forward_pass
验证必需 pam_unix.so use_first_pass
帐户必需 pam_unix.so 审计
帐户必需 pam_permit.so
提示 JUST 输入 Google Auth OTP(即无密码):
需要身份验证 pam_google_authenticator.so
需要帐户 pam_unix.so 需要审核
帐户 pam_permit.so
请注意,这不会发送质询响应 - 它只是意味着不需要首先输入密码。
Radius 是一种网络认证/授权/计费协议。它在 OSI 模型的第 3 层运行。
您的 Web 应用程序在第 7 层运行。
所以这里有点不匹配。您可能会使用 Radius 来验证网络连接,例如 WiFi 或网络端口,但您的 Web 应用程序需要基于 http 的东西。
我做了一些假设,但听起来好像您有一个 Radius 服务器来验证网络上的用户,并利用相同的用户数据库来验证 Web 应用程序中的用户。无论 Web 应用程序是否使用 Radius 协议对用户进行身份验证,您的用户在将用户名和密码输入网页时都不会使用 Radius,因此 Radius 不会帮助您 - 它需要在网络应用程序。
如果您的 Web 应用程序可以访问 radius 服务器,则可以确定哪个用户已通过身份验证,并基于此进行授权/OTP 提示,但这是 Web 应用程序逻辑。FreeRadius 中的任何配置都无法为您实现这一点。
因此,我建议您退后一步,考虑一下您的用户数据的存储位置。虽然您可能正在对 freeRadius 服务器进行身份验证,但 Radius 只是一个协议,并且在后端有一个用户数据库。这可以是 LDAP 服务器、SQL 数据库、pam 或只是一个纯文本文件。
假设您有一个通用的用户数据库,那么您可以将某种 Oauth/SAML 单点登录应用程序(Okta 和 PingID 是一些商业示例)添加到每个服务的身份验证流程中,以便在一个地方登录在另一个效果。使用 SSO,您可以修改您的 Web 应用程序以在某些点需要第二个因素(它必须知道用户现有的 OTP 密码,或者您可以要求他们为此设置另一个密码),或者您可以使用如果您使用的 SSO 技术支持某种策略和重新认证。
总之,我看不到仅在 freeRadius 中执行此操作的方法,即使可以,您也可能不应该这样做。并且要执行授权部分,您总是需要修改应用程序,除非您实施一些完全危及安全的可怕的中间人代理。