如何配置Apache使用半径为WiKID双重身份验证在Ubuntu上

如何配置Apache在Ubuntu上使用WiKID双因素认证的半径

本文介绍如何在Ubuntu 12.04 Precise上使用mod_auth_radius在Apache 2.x中添加WiKID双因素身份验证 。

建议您考虑对值得双因素身份验证的Web应用程序使用相互的https身份验证。 强相互认证意味着目标网站以一些加密安全的方式向用户进行身份验证，阻止了大多数中间人攻击。 密码学的使用是关键。 虽然一些网站使用图像来尝试验证服务器，但应注意，任何中间人都可以简单地重播这样的图像。

WiKID软件令牌通过从WiKID服务器检索网站的SSL证书的哈希值并比较下载的SSL证书的哈希值来执行相互验证。 如果两者匹配，令牌将启动默认浏览器到用户的目标站点。 如果它们不匹配，将显示错误，就像SSH一样。 要配置Web应用程序的相互验证，请参阅本教程 。

我们的配置如下：

• Ubuntu 12.04
• Apache 2.2.22-1
• libapache2-mod-auth-radius 1.5.8-1。
• 对于双因素认证，我们使用WiKID，在这种情况下是商业版本。

以下是它的工作原理，当用户点击双因素保护的链接时，系统将提示输入用户名和密码。 用户在其WiKID 软件令牌上生成一次性密码，并将其输入密码提示。 Apache将通过mod_auth_radius将用户名和一次性密码路由到WiKID服务器。 如果用户名和一次性密码与WiKID期望的一致，服务器将告诉Apache授予访问权限。 首先，我们将Apache作为网络客户端添加到WiKID强认证服务器，然后向Apache添加半径。 我假设你已经有一个WiKID域和用户设置。

因此，首先，为您的Web服务器的WiKID服务器添加一个新的Radius网络客户端：

• 登录WiKID服务器Web界面（ http：// yourwikidserver / WiKIDAdmin ）。
• 选择网络客户端选项卡。
• 单击创建新的网络客户端。
• 填写所需信息。
  • 对于IP地址，请使用Web服务器IP地址
  • 对于协议，选择半径
  • 点击添加按钮，然后在下一页输入共享密码
  • 不要在返回属性框中输入任何内容
• 从终端或通过ssh，运行'停止'，然后'开始'将网络客户端加载到内置的WiKID半径服务器

那就是WiKID服务器。

现在让Apache准备好双因素身份验证。 我从一个新的Ubuntu 12.04安装开始，所以我不得不安装apache和mod_auth_radius。

$ sudo apt-get install libapache2-mod-auth-radius

现在，您需要在apache2.conf和httpd.conf中添加两件事情。 首先创建一个将被双因素身份验证保护的目录。 在这种情况下，整个网站都受到保护。 输入你的apache2.conf ：

<Directory /var/www>
  Options Indexes FollowSymlinks
  AuthType Basic
  AuthName "WiKID Two-factor authentication"
  AuthBasicAuthoritative Off
  AuthBasicProvider radius
  AuthRadiusAuthoritative on
  AuthRadiusActive On
  Require valid-user
</Directory>

注意“AuthBasicProvider radius”指令。 这将阻止浏览器将缓存的凭据重新提交给WiKID服务器，这显然不能用于一次性密码。

现在，在httpd.conf中输入：

 
AddRadiusAuth wikid_server_address:1812 wikidserver_shared_secret 5
AuthRadiusCookieValid 60

您将要将wikid_server_address更改为WiKID服务器的IP地址，将wikidserver_shared_secret更改为WiKID服务器中配置的共享密钥。 请注意，AddRadiusAuth行以5而不是5：3结尾。 稍后设置的3是尝试使用密码的次数。 对于一次性密码，我们只想让他们尝试一次，所以我们把它留空。 5是5秒钟。 AuthRadiusCookieValid指令设置为60分钟。

这应该是你需要的所有。 您可以使用.htaccess文件，但这是皱眉。 目录方法被认为更安全。

使用radius允许您通过Windows / AD或Freeradius 上的NPS在 OpenLDAP中通过目录运行身份验证。 这样的配置允许您在一个地方禁用用户 - 目录 - 这是更安全的。

链接

• WiKID强认证 - 双因素认证
• Mod-auth-radius- mod-auth-radius
• Apache - Apache Webserver

相关教程

• 向Astaro Security Gateway添加WiKID双因素身份验证
• 使用Freeradius和WiKID的SSH的双因素身份验证
• 如何从WiKID配置OpenVPN进行双因素认证
• 如何配置SSL VPN进行双因素身份验证和相互的https身份验证