[ITA] Come implementare in modo facile e veloce un autenticazione OTP su Ubuntu con Secure-Pass
Come consulente IT sono alla costante ricerca di soluzione che possano aiutare me e i miei clienti ad avere una più efficiente gestione della loro infrastruttura IT. Ultimamente mi sono trovato a discutere con alcuni clienti riguardo le modalità sicure di accesso remoto ai loro dati o sistemi, e spesso si pensa a soluzioni complesse e costose da implementare, mentre, di recente, sono state introdotte delle soluzioni facili e sicure, che permettono di gestire in maniera veloce e immediata anche soluzioni molto complesse.
Proprio di recente, un cliente mi ha chiesto di implementare un accesso “più sicuro” al loro server SSH / SFTP, per questo ho testato la soluzione dell’accesso OTP (one time password) di Secure Pass.
Secure Pass è un sistema di gestione delle identità “on the cloud” fornito in modalità SaaS (Software as a Service). L’implementazione è stata veramente facile e veloce, per ciò ho deciso di fare un how-to essenziale che spiegasse come funziona.
I requisiti richiesti sono veramente minimi, ecco quelli usati per il mio test
We have very small pre-requisites for this test/tutorial i used:
- Una macchina Ubuntu Server, con Server SSH abilitato e funzionante.
- Se non è già installata, serve la libreria libpam-radius-auth.
potete facilmente verificare la presenza di pam_radius_auth.so in /lib/security
altrimenti basta un semplice apt-get install libpam-radius-auth - un account Secure Pass e lo stesso nome utente sulla macchina e sugli utenti Secure Pass.
Siamo Pronti:
Add new device
Come primo passo, accediamo all’interfaccia di amministrazione Secure Pass e aggiungiamo un nuovo device.
Come mostrato nella figura, dobbiamo solo settare l’ IP Pubblico del server, un fully qualified domanin name (FQDN) e la secret pass per l’autenticazione Radius. Dopo l’aggiunta avremo un piccolo riassunto con i dati del device appena aggiunto.
Auth conf
A questo punto, possiamo loggarci sul server e configurare l’autenticazione radius.
Prendete il vostro editor preferito e aprite /etc/pam_radius_auth.conf , e aggiungete alla fine del file le seguenti linee
radius1.secure-pass.net secret 3
radius2.secure-pass.net secret 3
Ovviamente la “secret” è la stessa che abbiamo impostato sul sito Secure Pass; Dopo questo punto dobbiamo configurare la PAM per gestire correttamente l’autenticazione.
Per farlo, bisogna editare il file /etc/pam.d/common-auth, e modificare/aggiungere le seguenti linee
auth<-->sufficient<---->pam_radius_auth.so.
auth<-->[success=1 default=ignore]<---->pam_unix.so nullok_secure try_first_pass
OTP app per Android
E’ tutto! siete pronti per loggarvi via SSH al vostro sistema usando la combinazione user + OTP , E’ stato facile, vero?
La password OTP può essere generata da un token fisico ( le classiche “chiavette”), oppure da un apposita App disponibile per iOS e per Android, come nella foto.
