Windows Server 2008 NPS双重认证的设置方法(1)
配置SSH网关服务器
配置SSH网关 现在我们将需要配置中央SSH网关,linux系统是导向所有生产服务器的网关/代理,它必须被严格锁定,并且不能有多余的软件或者服务器在上面运行。此外,linux系统还需要有一个处理入站连接的外部接口以及处理内部连接的内部接口。首先我们需要配置网关使用WiKID对SSH用户进行高强度验证。 从安装PAM Radius开始, 下载最新版本的tar文件 运行:
将产生的共享库复制到/lib/security。
编辑/etc/pam.d/sshd来允许进行Radius身份验证
注意:不同版本的linux有不同的pam.d文件格式。 请检查linux的具体版本,以下说明适用于Fedora/ Redhat/Centos 转到该文件的第一行,点击Insert键或者i键,插入到这一行。
Sufficient标签意味着,如果Radius身份验证成功的话,就不再需要额外的身份验证。然而,如果Radius验证失败的话,将需要来自该系统的用户名和密码来验证。使用“Required”来请求强认证。 写入文件并推出,点击Esc键来推出插入模式,并输入'':wq'' 编辑或创建/etc/raddb/server文件。
下面这行:
添加这一行,替代routableIPAddress:
routeableIPaddress是NPS服务器的IP地址 编辑 /etc/pam.d/sshd文件:
添加WiKID服务器到/etc/raddb/server文件,使用WiKID服务器的外部IP地址以及在网络客户端创建页面输入的共享密码:
这里也需要向SSH配置增加一些安全性,打开/etc/ssh/sshd_con**(不是附近的ssh_con**文件),添加这些配置选项:
#检查只有协议2被允许: Protocol 2 #禁用root登录:
#禁用没有密码的帐号:
现在网关已经设置为使用WiKID一次性密码来进行SSH验证,所有用户必须注册到WiKID服务器,没有人可以作为root登录。下面我们将做点小变动,让用户可以在网关创建自己的RSA密钥,只要用户在WiKID注册后,就能创建自己的密钥:
其实,这些密钥的密码短语是多余的,我们必须确保用户不能访问其他密钥。 配置目标服务器 显然,我们需要将这些服务器配置为仅接受来自网关的SSH请求,这可以通过限制端口22对内部地址的访问来实现,编辑/etc/syscon**/iptables或者端口22的SSH这行:
允许WiKID软件令牌 启动WiKID令牌,选择与SSH网关相关的域名,然后输入密码,就能获得一次性密码,这个密码是有时间限制的,可以在WiKID服务器任意设置密码的 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |