freeradius два фактора без факторной конкатенации
Не поставщик онлайн по сути, но если бы Вам действительно нужны способности, которые Вы перечислили, я предложил бы иметь удаленный SAN где-нибудь и использовал бы функцию репликации поставщика SAN для продвижения содержания локального SAN к удаленному.
В конце концов, это - то, что моя компания приняла решение использовать. Наш локальный кластер NetApp копирует в удаленный кластер NetApp, и каждые выходные оба кластера делают трудоемкую дедупликацию.
Никакая потребность в полноценной ДРК; моя компания просто арендует стойку на защищенном поставщике соразмещения с 2 Общедоступными IP-адресами.
Да, оплачиваемая авансом стоимость могла бы быть огромная, но операционная стоимость является довольно низкой. Плюс у нас есть душевное спокойствие, зная, что, если наш поставщик Колорадо разоряется, мы не потеряем наши тиражируемые данные.
Попробовав настроить yubikey для этого в течение некоторого времени (хотя и не с OpenVPN), я пришел к выводу, что если это сработает, его необходимо поддерживать оба - приложением и PAM. То есть приложение должно знать, чтобы запрашивать три вещи (вместо обычных двух) и , базовая библиотека PAM должна знать, ожидать, что три вещи будут переданы ей (и использовать их соответствующим образом) .
Библиотека yubikey PAM, похоже, не имеет такой поддержки, или, по крайней мере, у нее не было ее надежно, пока я все еще пытался сделать эту работу.
Вместо этого я решил использовать свой yubikey в режиме OATH, и я обнаружил, что правильная трехфазная аутентификация намного лучше обрабатывается как sshd , так и базовой библиотекой pam_oath .
Я не могу сказать, поддерживает ли OpenVPN это лучше, поскольку я не пробовал, но вы можете изучить его как вариант, если вы не можете заставить режим yubikey работать должным образом. Дополнительным преимуществом является то, что если кто-либо из ваших пользователей не может использовать yubikey по какой-либо причине (например, OpenVPN с конечной точки без USB-порта), существует ряд других реализаций OATH, которые можно использовать, например, на смартфоне для залога. тех конкретных пользователей, без необходимости полностью перестраивать вашу двухфакторную инфраструктуру.
Если это вас заинтересует, можно найти мою рецензию на sshd / yubikey / OATH / двухфакторную / трехфазную аутентификацию здесь .
Отредактируйте : нет, Под приложением я имел в виду OpenVPN. OpenVPN должен знать, чтобы запрашивать (эффективно) два отдельных пароля и имя пользователя, а поддерживающий модуль PAM должен знать, что нужно ожидать этих трех токенов и комбинировать их таким образом, чтобы это было приемлемо для FreeRADIUS. Практически не имеет значения, что это за согласованный метод, пока токены проверены; что важно, так это то, что обращенная к клиенту сторона всего механизма аутентификации знает, как запрашивать три разных токена и как обращаться с ними.
Попытка свернуть свой собственный, подговорив PAM вызвать плагин RADIUS дважды, с разные аргументы каждый раз и надежда, что это каким-то волшебным образом выйдет из стирки, кажется мне обреченной на провал (а также чреватой потенциальными дырами в безопасности).
RADIUS предлагает ответ на вызов . Т.е. сначала вы можете предоставить пароль на радиус-сервер, RADIUS-сервер проверит пароль, и если пароль правильный, то не с помощью Access-Accept, а с помощью Access-Challenge. Затем клиент Radius (pam_module) запросит вторую аутентификацию, и значение OTP может быть отправлено на сервер RADIUS. Если бы вторая часть (значение OTP) была правильной, RADIUS сервер, наконец, ответил бы ACCESS-Accept.
privacyIDEA предлагает ответ на вызов для нескольких маркеров OTP (HOTP, Yubikey) и модуль FreeRADIUS, который поддерживает ответ на вызов.
Глядя на код freeradius, он выглядит так, как будто pam_radius_auth также поддерживает ответ на вызов, но я еще не протестировал его.
.