如何添加双因素身份验证从WiKID到Ubuntu上的X2Go远程桌面

使用WiKID双因素身份验证保护Ubuntu上的X2Go

在本文档中,我们将演示如何使用X2Go在Ubuntu 12.04服务器上使用 WiKID进行远程桌面的 双因素身份验证。 WiKID强认证系统是商业/开源双因素认证解决方案。 X2Go是一款基于NX的远程桌面工具。首先,我们将在WiKID服务器上配置一个域,然后将目标服务器作为网络客户端添加到WiKID服务器,最后使用pam-radius配置x2go的Ubuntu Precise框。请注意,如果您已经将服务器配置为具有pam-radius的SSH网关框,则可以简单地添加X2Go并且它将工作。

WiKID强身份验证服务器可用于Ubuntu 。 请参阅.deb软件包的安装说明和完整的安装手册 。 我们假设您的服务器已启动并运行,您可以在环境中实施双因素身份验证。

向WiKID服务器添加域

创建网络客户端

保存域信息后,单击网络客户端选项卡和创建新的网络客户端 。 输入此客户端的名称和内部网络上的X2Go服务器的IP地址。 选择Radius作为协议和您上面创建的域作为域。

单击添加以获取下一页,并输入Radius的共享密码。 您将在PAM RADIUS配置中输入相同的共享密钥。

在您的Ubuntu Box上配置X2Go

安装X2Go很简单。

sudo apt-get install python-software-properties
sudo add-apt-repository ppa:x2go/stable
sudo apt-get update
sudo apt-get install x2goserver x2goserver-xsession x2gobroker x2gobroker-daemon x2gobroker-authservice

最后,我们需要一个桌面。 如果最初没有安装,可以运行:

sudo apt-get install ubuntu-desktop gnome

或者你想要提供的任何桌面。

此时,我建议您测试X2Go配置,以确保您可以使用静态密码登录。 安装x2go客户端:

apt-get install x2goclient

或者对于其他客户端操作系统,请参阅X2Go客户端页面 。 启动客户端并创建一个使用您的X2Go服务器的IP地址和您安装的桌面的新会话。 启动会话并使用您的Linux用户名和密码登录。

在X2Go服务器上配置PAM

现在我们将在X2Go服务器上配置PAM RADIUS。 每个linux的风格都会略有不同。 本教程介绍如何在Ubuntu上安装双因素身份验证的pam-radius。 有关如何在Redhat风格上安装pam-radius的说明, 请参阅此页面

首先,安装包:

$ sudo apt-get install libpam-radius-auth

这是非常无痛的。 现在我们来配置它。 首先让我们告诉pam_radius哪个半径服务器要谈:

$ sudo vim /etc/pam_radius_auth.conf

请注意,该文件说要将其复制到/ etc / raddb / server ,但不要这样做。

编辑“other-server; other-secret 3”行; 用WiKID强身份验证服务器的IP地址或主机名替换“其他服务器”(如果您在WiKID和服务器之间设置了一个,则为半径服务器),并更改“网络客户端”的共享密码。

现在,该软件包已设置并指向您的WiKID服务器,让我们配置一个服务来使用它。

编辑您的/etc/pam.d/sshd文件

$ sudo vim /etc/pam.d/sshd

并添加行:

auth       sufficient  pam_radius_auth.so

就在上面:

# Standard Un*x authentication.
@include common-auth

现在,你已经准备好测试了。 我建议你在测试时运行'tail -f /var/log/auth.log'。 启动您的WiKID软件令牌并选择您创建的域。 输入您的PIN并获得一次性密码。 用你的linux usernme和OTP登录。 请注意,linux框和WiKID服务器上的用户名必须相同。

请注意,我们尚未对帐户设置进行任何更改,因此用户希望在计算机上拥有本地帐户,也可以配置帐户以使用pam_ldap并将其指向AD / LDAP服务器。

远程桌面现在受到双重认证的保护 。 没有用户可以在没有从WiKID服务器获取一次性密码的情况下访问服务器。 身份验证的两个因素是拥有WiKID令牌(它是嵌入在令牌中的注册加密密钥)以及PIN的知识。 由于PIN在WiKID服务器上得到验证,所以禁用用户非常简单。 请注意,如果您有目录基础设施,我们建议您将PAM RADIUS指向您的radius服务器。 您的radius服务器应根据用户名对您的目录执行授权,如果成功,则将凭证代理给WiKID身份验证服务器。 此配置在您的目录中保留其所属的授权,并使用户禁用变得容易。

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏