엔터프라이즈 보안 포옹 오픈 소스 FREEOTP 배포 전투

엔터프라이즈 보안 포옹 오픈 소스 FREEOTP 배포 전투. 보안 건설, 전체 예산 과정 입력-출력 비율은, 능력 개발, 직원의 부족을 고려해 야 할 첫 번째 문제는 자본 예산의 부족, 오픈 소스 제품을 피할 수 없는 선택이 될.

0x01 머리말

Hufu는 고 대 황제 팀, 청동 또는 금 푸, 호랑이의 모양으로 그것의 군대를 동원 분할 장군에 있는 절반의 2 개 반으로 다른 저장, 동시에 그것의 부 대를 동원의 두 hufu 황제에 의해 반를 오른쪽. Hufu 이중 신원 인증의 초기 응용 프로그램으로 볼 수 있습니다.

0X02 2FA & OTP

2FA, 이중 요소 인증 하나는 당신이 무엇을 알고, 하나 당신이 또는 암호를 제공 해야 무엇 인 예를 들어 이며 동적 암호 또는 사용 홍 채, 지문 및 다른 생물학 기능 때문에 쉽게 지문 id 인증, 물론,에 대 한 두 번째 요소를 제공 해야 위조, 많은 보안 전문가 들은 권장 하지 않습니다.

엔터프라이즈 보안 관리, OTP는 포괄적인 비용의 이유, 배포 및 유지 보수의 용이성에 대 한 좋은 선택입니다. OTP 한 시간 암호 라고, 라고 강한 신원 인증 경우 필요한 동적 암호 더 일반적으로 사용 하는, 일반적인 응용 프로그램 네트워크 실버 하드웨어 토큰, 휴대 전화 토큰. 상용 제품의 동적 암호 기능, 엔터프라이즈의 힘 그들의 자신의 선택할 수 있습니다. 이 문서에서 우리는 OTP 솔루션으로 FREEOTP을 선택 했다.

FREEOTP는 iOS와 안 드 로이드 클라이언트를 제공 하면서 htop을 지 원하는 레드햇과 TOTP에서 오픈 소스 소프트 토큰 솔루션. FREEOTP은 Freeipa, Freeipa의 배포와 함께 우리가 어디 시작에 통합 되었습니다.

0x03 Freeipa 설치

테스트 환경

Os:centos7

Ipa_hostname:ipatest

Ipa_domain:example.com

Ipa_address 1.1.1.1

IPA Netbios:ipatest

Ad_hostname:it-dc01

Ad_domain:it.local

ad_address:2.2.2.2

배포 프로세스

1, 업데이트 시스템

냠 업데이트-y

2, FREEIPA 설치 관련 구성 요소

냠 설치-y "* ipa-서버" "* ipa-서버-신뢰-광고" 바인딩 바인딩-dyndb-ldap Ipa-서버-dns

3. 시스템 구성

에코 "1.1.1.1 ipatest.example.com ipatest" >> / etc/호스트

호스트 이름 ipatest.example.com

4. 정보 서비스 구성

Ipa-서버-설치-a mypassword1-p mypassword2--domain=example.com--realm=example.com--setup-dns--no-forwarders- U

5, IPA 관리자 권리에 대 한 액세스

Kinit 관리자

6, 방화벽 iptables 설치 구성

서비스 firewalld 중지 냠 설치-y iptables 서비스 chkconfig iptables 에코에 떨어져 Chkconfig firewalld "* 필터" > /etc/sysconfig/iptables 에코 ": 입력 수락 [0:0]" >> / etc/sysconfig/iptables 에코 ": 앞으로 수락 [0:0]" >> /etc/sysconfig/iptables 에코: 출력 허용 [0:0] ">> / etc/sysconfig/iptables 에코"-A 입력-m-주 ESTA Blished, 관련-j ACCEPT ">> / etc/sysconfig/iptables 에코"-입력 p icmp-j ACCEPT ">> / etc/sysconfig/iptab 레 에코는 입력 i lo-j ACCEPT ">> / etc/sysconfig/iptables 에코"-입력-m 상태-새로운 m tcp-p TCP-d 상태 22-jaccept 포트 ">> / etc/sysconfig/iptables 에코" # A 입력 s ad_ip_address-p tcp-m 멀티 포트-dports 389,636 -mstate-새로운, 설립 j 거부 상태 ">> / etc/sysconfig/iptables 에코"-를 입력-p tcp-m 멀티 포트-DPORTS80, 새로운 상태, 설립 jaccept 88,443,389,636,88,464,53,138,139,445 m 상태가 ">> / etc/sysconfig/iptables 에코" -입력-p udp-m MultiporT-dports 88,464,53,123,138,139,389,445-m 상태-새, 설립-j ACCEPT 상태 ">> / etc/sysconfig/iptables 에코 "-입력-p udp-j 거부" >> / etc/sysconfig/iptables 에코 "-입력-p tcp-j 거부" >> / etc/sysconfig iptables 에코 / "-앞으로-j 거부-거부 된 icmp 호스트 금지" >> / etc/sysconfig/iptables 에코 "커밋" & G T; >/etc/sysconfig/iptables 서비스 iptables를 다시 시작

이 FREEIPA 설치 완료 됩니다.

DNS 서버는 https://ipatest.example.com 통해 IPA 서버를 관리 하는 도메인 이름 확인 ipatest.example.com을 구성 합니다. 이미 배포 된 Ms 광고 시스템과 통합 하려는 경우 계정 암호 등의 설정을 동기화, 특정 구성을 참조 하시기 바랍니다 해야 합니다.

Http://gatwards.org/techblog/ipaactive-directory-sync-configuration

Http://directory.fedoraproject.org/docs/389ds/download.html#windows-password-synchronization