LinuxParty
En este documento se describe cómo agregar la autenticación de dos pasos WiKID para Apache 2.x utilizando mod_auth_radius en Ubuntu 12.04 Precise.
Es recomendable que considere utilizar mutual https authentication para las aplicaciones web que son dignos de la autenticación de dos factores. La Autenticación mutua significa que el sitio web de destino se autentica al usuario de alguna manera criptográficamente segura, frustrando más ataques man-in-the-middle. El uso de la criptografía es la clave. Mientras que algunos sitios utilizan una imagen en un intento de validar un servidor, debe tenerse en cuenta que cualquier hombre-en-el-medio podría simplemente reproducir dicha imagen.
El identificador de software WiKID realiza la autenticación mutua mediante la recuperación de un hash de certificado SSL del sitio web desde el servidor WiKID y compara el hash del certificado SSL descargado. Si ambas coinciden, el token iniciará el navegador por defecto al sitio de destino para el usuario. Si no coinciden se mostrará un error, al igual que en SSH. Para configurar la autenticación mutua para aplicaciones web, vea este tutorial.
Nuestra configuración fue como sigue:
- Ubuntu 12.04
- Apache 2.2.22-1
- libapache2-mod-auth-radio 1.5.8-1
Para la autenticación de dos factores, estamos usando WiKID, en este caso, la versión comercial.
Here's how it will work, when the user clicks on a two-factor protected link, they will be prompted for a username and password. The user generates the one-time passcode on their WiKID software token and enters it into the password prompt. Apache will route the username and one-time password to the WiKID server via mod_auth_radius. If the username and one-time password match what WiKID expects, the server will tell Apache to grant access. First, we add Apache to the WiKID Strong Authentication Server as a network client, then add radius to Apache. I assume you already have a WiKID domain and users setup.
Así es como va a funcionar, cuando el usuario hace clic en un enlace protegido de dos pasos, se le pedirá un nombre de usuario y contraseña. El usuario genera la contraseña en su WiKID software token y entra en la solicitud de contraseña. Apache encaminará el nombre de usuario y contraseña de una sola vez con el servidor a través de WiKID mod_auth_radius. Si el nombre de usuario y la contraseña coinciden como WiKID espera, el servidor que le dirá a Apache que permita el acceso. En primer lugar, añadimos Apache a WiKID Strong Authentication Server como un cliente de red, a continuación, agregue Radius a Apache. Supongo que usted ya tiene un dominio WiKID y configurado los usuarios.
Por lo tanto, para empezar añadiremos un nuevo cliente de red en el servidor Radius WiKID para el servidor web:
- Inicie sesión en la interfaz web del servidor WiKID (http://yourwikidserver/WiKIDAdmin).
- Seleccione la ficha Clientes de red.
- Haga clic en Crear nueva red de cliente.
- Complete la información solicitada.
- Para obtener la dirección IP, utilice la dirección IP del servidor web
- En Protocolo, seleccione Radius
- Pulse el botón Agregar y en la página siguiente, introduzca un secreto compartido
- No escriba nada en el cuadro Atributo de retorno (Return Attribute)
- Desde la terminal o mediante ssh, ejecute 'stop' y luego en 'Start' para cargar el cliente de red en el servidor Radius WiKID incorporado
Eso es todo por el servidor WiKID.
Ahora para obtener Apache listo para la autenticación de dos pasos. Inicie una nueva instalación de Ubuntu 12.04, que tenga instalado tanto apache como mod_auth_radius.
$ sudo apt-get install libapache2-mod-auth-radius
Ahora tiene que agregar dos cosas más a su apache2.conf y httpd.conf. Primero cree un directorio que será protegido por la autenticación de dos factores. En este caso, todo el sitio está protegido. Escriba esto en su apache2.conf:
<Directory /var/www> Options Indexes FollowSymlinks AuthType Basic AuthName "WiKID Two-factor authentication" AuthBasicAuthoritative Off AuthBasicProvider radius AuthRadiusAuthoritative on AuthRadiusActive On Require valid-user </Directory>
Tenga en cuenta la directiva "radio AuthBasicProvider". Eso deja el navegador de representación de credenciales en caché en el servidor WiKID, lo que claramente no va a funcionar para las contraseñas de una sola vez.
Ahora, en httpd.conf, escriba:
AddRadiusAuth wikid_server_address: 1812 wikidserver_shared_secret 5 AuthRadiusCookieValid 60
Usted tendrá que cambiar wikid_server_address a la dirección IP del servidor WiKID y wikidserver_shared_secret el secreto compartido que configuró anteriormente en el servidor WiKID. Tenga en cuenta que la línea AddRadiusAuth termina con 5 y no 5:3. El 3 en la configuración más adelante es para el número de veces para intentar una contraseña de uso. Para las contraseñas de una sola vez, sólo queremos que intentaron una vez, por lo tanto, lo dejamos vacío. El 5 es un 5 segundos el tiempo de espera. La directiva AuthRadiusCookieValid se establece durante 60 minutos.
Eso debería ser todo lo que necesita. Puede utilizar un archivo .htaccess, pero está mal visto. El método Directory se considera más seguro.
Con Radius le permite ejecutar la autenticación a través de su directorio con NPS on Windows/AD o Freeradius for OpenLDAP. Esta configuración le permite desactivar un usuario en un solo lugar - el directorio - que es mucho más seguro.

-
Microsoft
- Si estás listo para dejar atrás Windows 11, te recomiendo esta distribución para nuevos usuarios de Linux
- Microsoft Copilot ahora puede leer tu pantalla, pensar profundamente y hablarte en voz alta
- Cómo instalar Windows 11 sin restricciones: Elimina requisitos de hardware y cuenta de Microsoft
- Fin del Soporte para Windows 10: Microsoft Terminará Actualizaciones en 2025, pero 0patch Ofrecerá Soporte hasta 2030, sepa cómo
- ¿Es la nueva función 'Recuperar' de Windows una pesadilla de seguridad y privacidad?
- La preocupación de Microsoft por el liderazgo de Google impulsó la inversión en OpenAI
- Windows 10 alcanza el 70% de participación de mercado mientras Windows 11 sigue cayendo
- Microsoft eliminará los controladores de impresoras de terceros en Windows
- Después de 28 años, Microsoft anuncia que eliminará WordPad de Windows
- Las mejores alternativas a Microsoft Excel para Linux
- Las 5 principales alternativas de código abierto de Microsoft 365 para Linux
- Con Bing ya podemos generar imágenes al mas puro estilo DALL-E
- OpenAI y Microsoft son socios, hasta que compiten por los mismos clientes
- Microsoft dice que hablar demasiado tiempo con Bing puede hacer que se descarrile
- ¿Es Windows 11 un software espía? Microsoft defiende el envío de datos de usuarios a terceros