在Ubuntu使用Radius配置双因素身份验证到Apache的操作说明

风信网(ithov.com)原创文章:本文介绍了如何在 Ubuntu 12.04 中使用 mod_auth_radius 添加 WiKID two-factor authentication 双因素身份认证到 Apache 2.x的操作方法。

我们建议您使用Web应用程序的相互HTTPS验证(mutual https authentication)的双因素身份认证。强相互验证是有针对性的网站在某些加密安全的方式对用户进行身份验证,从而阻碍中间人的攻击,因此使用密码是关键。虽然一些网站在尝试使用图像验证服务器,应该要注意中间人可以简单地重放这样的图像。

WiKID 软件token进行相互认证,是通过从 WiKID 服务器检索网站SSL证书的哈希值,和比较下载SSL证书的哈希值。通过这两个相比较,token 将为用户启动默认的浏览器到目标站点。如果他们不匹配,将显示一个错误,就像SSH。本教程介绍了如何为Web应用程序配置相互认证。

详细配置操作如下:

• Ubuntu 12.04
• Apache 2.2.22-1
• libapache2-mod-auth-radius 1.5.8-1
• For two-factor authentication, we were using WiKID, in this case, the commercial version.
• 双因素身份认证,我们使用商业版本的WiKID。
  这里介绍双因素身份认证是如何工作的,当用户点击一个双因素保护链路时,系统提示输入一个用户名和密码。用户在其 WiKID software token 上生成一次性密码,并进入到密码提示。Apache 通过 mod_auth_radius 将用户名和一次性密码转入到 WiKID 服务器。如果用户名和一次性密码匹配 WiKID,该服务器将告诉 Apache 同意访问权限。首先,我们添加 Apache 到 WiKID 强认证服务器作为一个网络客户端,然后添加 radius 到 Apache 。这里我们假设你已经有了一个WiKID域名和用户设置。

于是,开始为您的Web服务器添加一个新的 Radius 网络客户端到 WiKID 服务器:

• 登录到 WiKID 服务器的web界面(http://yourwikidserver/WiKIDAdmin)
• 选择  Network Clients 网络客户端的选项卡
• 点击 Create New Network Client 创建新的网络客户端
• 填写所要求的信息
• 使用Web服务器的IP地址
• 选择 Radius 协议
• 点击“Add 添加”按钮,到下一个页面,输入一个共享密钥。
• 在返回属性框中不需要输入任何内容
• 从终端或者通过ssh,先运行“stop停止”,然后“start开始”来加载网络客户端到内置的WiKIDR radius 服务器。

现在让 Apache 准备好进行双因素身份验证。我们开始从一个全新的 Ubuntu 12.04的安装开始,所以需要安装 Apache 和mod_auth_radius。

$ sudo apt-get install libapache2-mod-auth-radius 

现在,你需要添加两个信息到 apache2.conf 和 httpd.conf。首先创建一个受到双因素认证保护的目录,让整个站点都受保护。输入以下命令到你的 apache2.conf :

<Directory /var/www>   Options Indexes FollowSymlinks    AuthType Basic    AuthName "WiKID Two-factor authentication"    AuthBasicAuthoritative Off    AuthBasicProvider radius    AuthRadiusAuthoritative on    AuthRadiusActive On    Require valid-user  </Directory> 

需注意“AuthBasicProvider radius”指令,从重新提交缓存凭据到WiKID服务器来停止浏览器,不支持一次性密码。

现在,在 httpd.conf 中输入:

AddRadiusAuth wikid_server_address:1812 wikidserver_shared_secret 5  AuthRadius
CookieValid 60 

你需要更改 wikid_server_address 到 WiKID 服务器 和 wikidserver_shared_secret 的IP地址,再到WiKID服务器中已配置的共享密钥。请注意,AddRadiusAuth 行 5 的结尾不是 5:3。在后面设置为3的次数是尝试的密码使用,对于一次性密码,我们只是试用一次,因此我们保留它为空。5是指5秒的暂停时间,AuthRadiusCookieValid 指令设置为60分钟。

以上就是配置WiKID双因素身份验证的操作方法,我们不赞成使用 .htaccess 文件,目录的操作方法更安全。

使用 radius 允许你通过 NPS on Windows/AD 或 Freeradius for OpenLDAP 目录运行 authentication ,该配置可以禁用在一个地方的用户,操作更安全。

时间: 2024-08-28 03:57:22

在Ubuntu使用Radius配置双因素身份验证到Apache的操作说明的相关文章

做好觉悟了吗?弃用短信双因素身份验证!

美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证,而专家表示,这种改变早该进行了. 日前,NIST发布了<数字身份验证指南(Digital Authentication Guideline)>的公开预览草案,其中5.1.3.2部分规定如果双因素身份验证(2FA)必须通过短信完成,核查人必须"确认所使用的预登记电话号码实际与手机网络关联,而不是与VoIP(或其他基于软件)服务关联",但"(带外)使用短信已过时,在本指南未来版本中将不再允许使用&qu

便利性和安全性:双因素身份验证新面貌

本文讲的是 :  便利性和安全性:双因素身份验证新面貌  ,  [IT168 编译]安全是IT管理人员日常工作的一部分,但最近消费者也同样关心他们的网上隐私.而很多企业都试图通过承诺卓越的安全性来努力提高自己的品牌形象,从竞争对手中脱颖而出.然而,有一个他们应该部署却没有部署的安全做法:双因素身份验证. 我们都知道,通过网络攻击.网上欺诈和身份盗窃,网上身份验证问题给企业和消费者都带来了高昂的代价.双因素身份验证一直是缓解这些问题的强大的解决方案.通过提供安全登录,双因素身份验证可以保护公司声誉

调查发现:用户重新评价双因素身份验证选项

一项调查发现,超过三分之二的受访者(68%)表示他们很可能在未来使 用手机为基础的验证,越来越多的安全令牌用户对双因素认证技术 感到焦虑.这项调查是由PhoneFactor公司执行的,该公司销售无令牌的,基于电话的双因素认证.调查发现,一些组织正在考虑其他的双因素身份验证选项.接受调查的400名IT专业人士中,93%的目前部署了令牌的受访者表示,三月份披露的 RSA漏洞影响SecurID令牌事件让他们有所觉醒.而且,44%的人正重新评估他们目前使用的令牌,15%的人加快了已经计划好的令牌选项评估

RSA双因素身份认证系统解决方案的应用

2007年9月17日,据了解,中国五矿集团于近日为了建立高效.高可靠性.高安全性的企业办公自动化平台,采用了RSA信息安全解决方案. 目前,五矿集团的各种系统口令采用静态密码方式,存在着许多安全隐患,其中包括:静态口令安全等级太低,容易外泄:静态口令需要定期修改和维护,效率低,管理职责分散:外来访问人员接入核心内网带来的安全威胁:VPN用户接入的身份难以识别.所以,强身份认证系统对信息网络系统的保护就显得非常迫切和必要了.正是在这样的情况下,经过多次严格的测试与比较,五矿集团最终选择了RSA S

Evilginx:可绕过双因素验证的高级钓鱼框架

本文讲的是Evilginx:可绕过双因素验证的高级钓鱼框架, 过去几个月里,我一直在研究可用于渗透测试任务的网络钓鱼技术.我发现,几乎所有的网络钓鱼都是通过网络钓鱼获得登录凭证开始进行攻击的. 今天的这篇文章中,我将向大家展示新发现的一个钓鱼攻击技巧,它可以让网络钓鱼更加隐蔽. 首先声明下,Evilginx钓鱼攻击方法仅仅是我用来做钓鱼测试用的.之所以会公布出来,只是出于技术交流和安全漏洞预警目的. Evilginx,可绕过双因素验证的高级钓鱼框架.它是一个中间人攻击框架,用于远程捕获任何Web

除了双因素:如何使用U2F来改善应用安全

您还记得过去在用双因素身份验证之前,只使用一个用户名和密码就能被认为是安全的好时光吗?事实上,其实从来都不是那样的.在少年时的朱利安·阿桑奇(Julian Assange)闯入五角大楼之前,甚至在互联网广为传播到世界各地之前,人们就在使用暴力密码攻击去攻破了一个个系统.美剧<黑客军团>里的Mr. Robot就运用社交工程破解了其视为目标的大多数人的账户. 使用2FA(双因素身份认证)曾被视为是对此的补救方法,但其方法已被发现有着黑客可利用的漏洞,而应对此挑战的办法则比较昂贵的.幸运的是,还有一

为保证WorkSpaces安全,AWS实施多因素身份验证

根据亚马逊首席宣传者Jeff Barr近期的一篇博客,AWS已经宣布,它正使用本地RADIUS服务器增加在WorkSpaces的多因素身份验证.这意味着,WorkSpaces用户现在能够使用他们已经在其他形式组织中使用的机制来进行自我验证. 以下博文为译文: 亚马逊的WorkSpaces是AWS在云中的全托管桌面计算服务.一旦多因素身份验证功能被启用并配置,用户可以通过输入其Active Directory的用户名和密码,以及由硬件或软件令牌提供的一次性密码登录到工作区. Barr在博客中写道,

看我如何绕过Lastpass双因素验证机制

本文讲的是看我如何绕过Lastpass双因素验证机制,在某次红队测试中,我发现了一种在Lastpass中绕过双因素验证(2FA)的方法.不幸的是,这一发现是在Tavis Ormandy曝光Lastpass远程命令执行漏洞之前,否则会节省我许多时间.但无论如何,2FA是一层额外的安全防护,主要用来保护用户帐户免受那些已经破解了密码的攻击者对你发起攻击. 当你在使用账号密码登录所需要的服务时,往往都会在获得访问权限之前,面临一个挑战--一个每30秒更改一组6位数的临时代码.比如Google验证器.A

RCDevs OpenOTP 1.0.15发布 双因素认证工具

RCDevs.OpenOTP Server 提供了一次性密码(OTP)的双因素认证.支持 OATH RFC-4226 HOTP(基于事件)和 TOTP(基于时间).OCRA(基于挑战).Mobile-OTP.YubiKey软件/硬件标识符.SMSOTP.MailOTP 和 OTP列表.它提供了一个 SOAP/XML.RADIUS.和 OpenID AP集成到LDAP.支持Web应用程序.虚拟专用网.Linux PAM.微软,等等.它是由RCDevs WebADM服务器应用程序.OpenOTP S