Инструкции

Компоненты интеграции

CentOS: Настройка двухфакторной аутентификации

С помощью решения Protectimus для многократной аутентификации (MFA) вы можете настроить двухфакторную аутентификацию (2FA) в CentOS за несколько шагов.

1. Как работает двухфакторная аутентификация (2FA) в CentOS

После настройки двухфакторной аутентификации (2FA) в CentOS пользователи должны будут вводить два пароля для доступа к своим учетным записям.

  1. Первый – это стандартный пароль (то, что пользователь хранит в памяти);
  2. Второй – это одноразовый пароль, который действует всего 30 или 60 секунд (одноразовый пароль генерируется с помощью аппаратного OTP-токена или 2FA-приложения на телефоне пользователя – то есть чего-то принадлежащего пользователю и что он должен носить с собой).

Таким образом, аккаунт CentOS становится защищенным двумя разными факторами аутентификации. Даже если хакер украдет пароль пользователя с помощью фишинга, перебора, социальной инженерии, подмены данных или любой другой атаки, он не сможет получить доступ к аккаунту CentOS без одноразового пароля из 2FA токена пользователя.

Эта инструкция объясняет, как настроить двухфакторную аутентификацию (2FA) в CentOS с помощью компонента Protectimus RADIUS 2FA для интеграции с облачным сервисом Protectimus или локальной платформой MFA Protectimus.


Схема настройки 2FA (двухфакторной аутентификации) в CentOS

2. Как настроить двухфакторную аутентификацию (2FA) в CentOS

Вы можете настроить двухфакторную аутентификацию (2FA) в CentOS с помощью Protectimus, используя протокол RADIUS:
  1. Зарегистрируйтесь в Облачном сервисе многофакторной аутентификации или разверните Локальную платформу MFA Protectimus, затем настройте базовые параметры.
  2. Установите PAM модуль Protectimus для двухфакторной аутентификации в CentOS.
  3. Установите и настройте модуль Protectimus RADIUS Server.

2.1. Зарегистрируйтесь и настройте основные параметры Protectimus

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, не забудьте пометить опцию Radius).
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

2.2. Установите PAM модуль Protectimus для двухфакторной аутентификации в CentOS

yum -y install epel-release
yum -y install pam_radius

2.3. Установите и настройте Protectimus RADIUS Server

  1. Установите protectimus-radius
git clone https://github.com/protectimus/platform-linux.git
cd platform-linux/radius
edit config/radius.yml
docker compose up -d
  1. Настройте файл radius.yml.

    Настройте параметры Protectimus RADIUS Server в файле radius.yml. Он должен находиться в том же каталоге, что и исполняемый файл.

    Подробные инструкции по доступным свойствам, которые можно добавить в файл radius.yml, вы найдете в нашем Руководстве по настройке Protectimus RADIUS Server.

    Пример конфигурации файла radius.yml:
radius:
  secret: secret
  auth-port: 1812

auth:
  #  Could be :
  #  - LDAP
  #  - PROTECTIMUS_PASSWORD
  #  - PROTECTIMUS_OTP
  #  - PROTECTIMUS_PUSH
  providers:
	- PROTECTIMUS_OTP

protectimus-api:
  login: login@domain.com
  api-key: aslkjdljsdlaskmWpXjT5K0xqLXkd3
  url: https://api.protectimus.com/
  resource-name: radius
  resource-id: 723
  1. Отредактируйте pam_radius config, настройте secret

    /etc/pam_radius.conf
# server[:port] shared_secret  	timeout (s)
127.0.0.1   	secret         	1
  1. Настройте SSH для использования метода вызова-ответа (OCRA)

    /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
  1. Выполните команду systemctl restart sshd
  1. Настройте PAM для SSH для использования RADIUS
    Добавьте строку auth required pam_radius_auth.so после auth substack password-auth в файл /etc/pam.d/sshd
#%PAM-1.0
auth   	required 	pam_sepermit.so
# protectimus pam radius
auth   	substack 	password-auth
auth   	required 	pam_radius_auth.so
auth   	include  	postlogin
# Used with polkit to reauthorize users in remote sessions
-auth  	optional 	pam_reauthorize.so prepare
Настройка многофакторной аутентификации в CentOS завершена. Если у вас возникли вопросы, обратитесь в службу поддержки клиентов.
Этот сайт зарегистрирован на wpml.org как сайт разработки. Переключитесь на рабочий сайт по ключу remove this banner.
Table of Contents