LinuxParty
En este documento se describe cómo agregar la autenticación de dos pasos WiKID para Apache 2.x utilizando mod_auth_radius en Ubuntu 12.04 Precise.
Es recomendable que considere utilizar mutual https authentication para las aplicaciones web que son dignos de la autenticación de dos factores. La Autenticación mutua significa que el sitio web de destino se autentica al usuario de alguna manera criptográficamente segura, frustrando más ataques man-in-the-middle. El uso de la criptografía es la clave. Mientras que algunos sitios utilizan una imagen en un intento de validar un servidor, debe tenerse en cuenta que cualquier hombre-en-el-medio podría simplemente reproducir dicha imagen.
El identificador de software WiKID realiza la autenticación mutua mediante la recuperación de un hash de certificado SSL del sitio web desde el servidor WiKID y compara el hash del certificado SSL descargado. Si ambas coinciden, el token iniciará el navegador por defecto al sitio de destino para el usuario. Si no coinciden se mostrará un error, al igual que en SSH. Para configurar la autenticación mutua para aplicaciones web, vea este tutorial.
Nuestra configuración fue como sigue:
- Ubuntu 12.04
- Apache 2.2.22-1
- libapache2-mod-auth-radio 1.5.8-1
Para la autenticación de dos factores, estamos usando WiKID, en este caso, la versión comercial.
Here's how it will work, when the user clicks on a two-factor protected link, they will be prompted for a username and password. The user generates the one-time passcode on their WiKID software token and enters it into the password prompt. Apache will route the username and one-time password to the WiKID server via mod_auth_radius. If the username and one-time password match what WiKID expects, the server will tell Apache to grant access. First, we add Apache to the WiKID Strong Authentication Server as a network client, then add radius to Apache. I assume you already have a WiKID domain and users setup.
Así es como va a funcionar, cuando el usuario hace clic en un enlace protegido de dos pasos, se le pedirá un nombre de usuario y contraseña. El usuario genera la contraseña en su WiKID software token y entra en la solicitud de contraseña. Apache encaminará el nombre de usuario y contraseña de una sola vez con el servidor a través de WiKID mod_auth_radius. Si el nombre de usuario y la contraseña coinciden como WiKID espera, el servidor que le dirá a Apache que permita el acceso. En primer lugar, añadimos Apache a WiKID Strong Authentication Server como un cliente de red, a continuación, agregue Radius a Apache. Supongo que usted ya tiene un dominio WiKID y configurado los usuarios.
Por lo tanto, para empezar añadiremos un nuevo cliente de red en el servidor Radius WiKID para el servidor web:
- Inicie sesión en la interfaz web del servidor WiKID (http://yourwikidserver/WiKIDAdmin).
- Seleccione la ficha Clientes de red.
- Haga clic en Crear nueva red de cliente.
- Complete la información solicitada.
- Para obtener la dirección IP, utilice la dirección IP del servidor web
- En Protocolo, seleccione Radius
- Pulse el botón Agregar y en la página siguiente, introduzca un secreto compartido
- No escriba nada en el cuadro Atributo de retorno (Return Attribute)
- Desde la terminal o mediante ssh, ejecute 'stop' y luego en 'Start' para cargar el cliente de red en el servidor Radius WiKID incorporado
Eso es todo por el servidor WiKID.
Ahora para obtener Apache listo para la autenticación de dos pasos. Inicie una nueva instalación de Ubuntu 12.04, que tenga instalado tanto apache como mod_auth_radius.
$ sudo apt-get install libapache2-mod-auth-radius
Ahora tiene que agregar dos cosas más a su apache2.conf y httpd.conf. Primero cree un directorio que será protegido por la autenticación de dos factores. En este caso, todo el sitio está protegido. Escriba esto en su apache2.conf:
<Directory /var/www> Options Indexes FollowSymlinks AuthType Basic AuthName "WiKID Two-factor authentication" AuthBasicAuthoritative Off AuthBasicProvider radius AuthRadiusAuthoritative on AuthRadiusActive On Require valid-user </Directory>
Tenga en cuenta la directiva "radio AuthBasicProvider". Eso deja el navegador de representación de credenciales en caché en el servidor WiKID, lo que claramente no va a funcionar para las contraseñas de una sola vez.
Ahora, en httpd.conf, escriba:
AddRadiusAuth wikid_server_address: 1812 wikidserver_shared_secret 5 AuthRadiusCookieValid 60
Usted tendrá que cambiar wikid_server_address a la dirección IP del servidor WiKID y wikidserver_shared_secret el secreto compartido que configuró anteriormente en el servidor WiKID. Tenga en cuenta que la línea AddRadiusAuth termina con 5 y no 5:3. El 3 en la configuración más adelante es para el número de veces para intentar una contraseña de uso. Para las contraseñas de una sola vez, sólo queremos que intentaron una vez, por lo tanto, lo dejamos vacío. El 5 es un 5 segundos el tiempo de espera. La directiva AuthRadiusCookieValid se establece durante 60 minutos.
Eso debería ser todo lo que necesita. Puede utilizar un archivo .htaccess, pero está mal visto. El método Directory se considera más seguro.
Con Radius le permite ejecutar la autenticación a través de su directorio con NPS on Windows/AD o Freeradius for OpenLDAP. Esta configuración le permite desactivar un usuario en un solo lugar - el directorio - que es mucho más seguro.

-
Ubuntu
- Las discusiones de desarrollo de Ubuntu se trasladarán de IRC a Matrix
- Crear de un servidor NFS, como almacenamiento independiente con GlusterFS En Ubuntu
- 20 años de Ubuntu: Canonical lo celebra con el lanzamiento de 24.10, que es excepcional como siempre
- Ahora puedes actualizar Ubuntu 22.04 LTS a Ubuntu 24.04 LTS. Aquí te explicamos cómo
- El App Center de Ubuntu ahora finalmente admite la instalación de paquetes DEB locales
- Ubuntu 24.04 ahora se ejecuta en Nintendo Switch (no oficialmente)
- Las 10 mejores distribuciones de Linux basadas en Ubuntu
- Cómo recuperar, reparar y reinstalar el cargador Boot Loader de arranque GRUB en Ubuntu Linux
- Instalar Nvidia Driver en Ubuntu Linux (último controlador patentado)
- Disco de Recuperación NTFS de Windows desde Linux
- Tener tu propia nube con ownCloud3 con Nginx (LEMP) en Debian/Ubuntu
- Ejecutar Simple Groupware en Nginx (LEMP) en Debian Squeeze/Ubuntu 11.10
- Ejecutar Shopware Community Edition con Nginx en Debian Squeeze/Ubuntu 12.04
- Cosas que hacer después de instalar Ubuntu Linux
- 25 Comandos Básicos Útiles de APT-GET y APT-CACHE para la Gestión de Paquetes