如何添加双因素身份验证从WiKID到Ubuntu上的X2Go远程桌面

使用WiKID双因素身份验证保护Ubuntu上的X2Go

在本文档中，我们将演示如何使用X2Go在Ubuntu 12.04服务器上使用 WiKID进行远程桌面的 双因素身份验证。 WiKID强认证系统是商业/开源双因素认证解决方案。 X2Go是一款基于NX的远程桌面工具。首先，我们将在WiKID服务器上配置一个域，然后将目标服务器作为网络客户端添加到WiKID服务器，最后使用pam-radius配置x2go的Ubuntu Precise框。请注意，如果您已经将服务器配置为具有pam-radius的SSH网关框，则可以简单地添加X2Go并且它将工作。

WiKID强身份验证服务器可用于Ubuntu 。 请参阅.deb软件包的安装说明和完整的安装手册 。 我们假设您的服务器已启动并运行，您可以在环境中实施双因素身份验证。

向WiKID服务器添加域

创建网络客户端

保存域信息后，单击网络客户端选项卡和创建新的网络客户端 。 输入此客户端的名称和内部网络上的X2Go服务器的IP地址。 选择Radius作为协议和您上面创建的域作为域。

单击添加以获取下一页，并输入Radius的共享密码。 您将在PAM RADIUS配置中输入相同的共享密钥。

在您的Ubuntu Box上配置X2Go

安装X2Go很简单。

sudo apt-get install python-software-properties

sudo add-apt-repository ppa:x2go/stable

sudo apt-get update

sudo apt-get install x2goserver x2goserver-xsession x2gobroker x2gobroker-daemon x2gobroker-authservice

最后，我们需要一个桌面。 如果最初没有安装，可以运行：

sudo apt-get install ubuntu-desktop gnome

或者你想要提供的任何桌面。

此时，我建议您测试X2Go配置，以确保您可以使用静态密码登录。 安装x2go客户端：

apt-get install x2goclient

或者对于其他客户端操作系统，请参阅X2Go客户端页面 。 启动客户端并创建一个使用您的X2Go服务器的IP地址和您安装的桌面的新会话。 启动会话并使用您的Linux用户名和密码登录。

在X2Go服务器上配置PAM

现在我们将在X2Go服务器上配置PAM RADIUS。 每个linux的风格都会略有不同。 本教程介绍如何在Ubuntu上安装双因素身份验证的pam-radius。 有关如何在Redhat风格上安装pam-radius的说明， 请参阅此页面 。

首先，安装包：

$ sudo apt-get install libpam-radius-auth

这是非常无痛的。 现在我们来配置它。 首先让我们告诉pam_radius哪个半径服务器要谈：

$ sudo vim /etc/pam_radius_auth.conf

请注意，该文件说要将其复制到/ etc / raddb / server ，但不要这样做。

编辑“other-server; other-secret 3”行; 用WiKID强身份验证服务器的IP地址或主机名替换“其他服务器”（如果您在WiKID和服务器之间设置了一个，则为半径服务器），并更改“网络客户端”的共享密码。

现在，该软件包已设置并指向您的WiKID服务器，让我们配置一个服务来使用它。

编辑您的/etc/pam.d/sshd文件

$ sudo vim /etc/pam.d/sshd

并添加行：

auth       sufficient  pam_radius_auth.so

就在上面：

# Standard Un*x authentication.
@include common-auth

现在，你已经准备好测试了。 我建议你在测试时运行'tail -f /var/log/auth.log'。 启动您的WiKID软件令牌并选择您创建的域。 输入您的PIN并获得一次性密码。 用你的linux usernme和OTP登录。 请注意，linux框和WiKID服务器上的用户名必须相同。

请注意，我们尚未对帐户设置进行任何更改，因此用户希望在计算机上拥有本地帐户，也可以配置帐户以使用pam_ldap并将其指向AD / LDAP服务器。

远程桌面现在受到双重认证的保护 。 没有用户可以在没有从WiKID服务器获取一次性密码的情况下访问服务器。 身份验证的两个因素是拥有WiKID令牌（它是嵌入在令牌中的注册加密密钥）以及PIN的知识。 由于PIN在WiKID服务器上得到验证，所以禁用用户非常简单。 请注意，如果您有目录基础设施，我们建议您将PAM RADIUS指向您的radius服务器。 您的radius服务器应根据用户名对您的目录执行授权，如果成功，则将凭证代理给WiKID身份验证服务器。 此配置在您的目录中保留其所属的授权，并使用户禁用变得容易。