快速业务通道

Windows Server 2008 NPS双重认证的设置方法(1)

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26
配置SSH网关服务器

配置SSH网关

现在我们将需要配置中央SSH网关,linux系统是导向所有生产服务器的网关/代理,它必须被严格锁定,并且不能有多余的软件或者服务器在上面运行。此外,linux系统还需要有一个处理入站连接的外部接口以及处理内部连接的内部接口。首先我们需要配置网关使用WiKID对SSH用户进行高强度验证。

从安装PAM Radius开始,

下载最新版本的tar文件

运行:

  1. contentnbsp;make 

将产生的共享库复制到/lib/security。

  1. contentnbsp;sudo cp pam_radius_auth.so /lib/security/ 

编辑/etc/pam.d/sshd来允许进行Radius身份验证

  1. contentnbsp;sudo vi /etc/pam.d/sshd 

注意:不同版本的linux有不同的pam.d文件格式。 请检查linux的具体版本,以下说明适用于Fedora/ Redhat/Centos

转到该文件的第一行,点击Insert键或者i键,插入到这一行。

  1. auth sufficient /lib/security/pam_radius_auth.so 

Sufficient标签意味着,如果Radius身份验证成功的话,就不再需要额外的身份验证。然而,如果Radius验证失败的话,将需要来自该系统的用户名和密码来验证。使用“Required”来请求强认证。

写入文件并推出,点击Esc键来推出插入模式,并输入'':wq''

编辑或创建/etc/raddb/server文件。

  1. vi /etc/raddb/server 

下面这行:

  1. 127.0.0.1 secret 1 

添加这一行,替代routableIPAddress:

  1. routableIPaddress shared_secret 1 

routeableIPaddress是NPS服务器的IP地址

编辑 /etc/pam.d/sshd文件:

  1. #%PAM-1.0  
  2. auth sufficient /lib/security/pam_radius_auth.so  
  3. auth include system-auth  
  4. account required pam_nologin.so  
  5. account include system-auth  
  6. password include system-auth  
  7. session include system-auth  
  8. session required pam_loginuid.so  

添加WiKID服务器到/etc/raddb/server文件,使用WiKID服务器的外部IP地址以及在网络客户端创建页面输入的共享密码:

  1. # server[:port] shared_secret timeout (s)  
  2. 127.0.0.1 secret 1  
  3. xxx.xxx.xxx.xx wikidserver_secret 3 

这里也需要向SSH配置增加一些安全性,打开/etc/ssh/sshd_con**(不是附近的ssh_con**文件),添加这些配置选项:

  1. #Protocol 2,1 

#检查只有协议2被允许: Protocol 2

#禁用root登录:

  1. PermitRootLogin no 

#禁用没有密码的帐号:

  1. PermitEmptyPasswords no 

现在网关已经设置为使用WiKID一次性密码来进行SSH验证,所有用户必须注册到WiKID服务器,没有人可以作为root登录。下面我们将做点小变动,让用户可以在网关创建自己的RSA密钥,只要用户在WiKID注册后,就能创建自己的密钥:

  1. class="command">ssh-keygen -t rsa 

其实,这些密钥的密码短语是多余的,我们必须确保用户不能访问其他密钥。

配置目标服务器

显然,我们需要将这些服务器配置为仅接受来自网关的SSH请求,这可以通过限制端口22对内部地址的访问来实现,编辑/etc/syscon**/iptables或者端口22的SSH这行:

  1. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT 

允许WiKID软件令牌

启动WiKID令牌,选择与SSH网关相关的域名,然后输入密码,就能获得一次性密码,这个密码是有时间限制的,可以在WiKID服务器任意设置密码的

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号