Установка multiOTP сервера с использованием LDAP

1.Скачиваем multiOTP и CredentialProvider  тут.

(В архиве находятся версии под Linux, Raspberry и Windows, инструкция базируется на Win.)

2. Папку “windows” распаковываем где-нибудь на диске.

3. Далее открываем cmd с правами админа, указав путь до multiotp.exe, вставим туда следующую конфигурацию:

multiotp -config default-request-prefix-pin=0
multiotp -config default-request-ldap-pwd=0
multiotp -config ldap-server-type=1
multiotp -config ldap-cn-identifier=sAMAccountName
multiotp -config ldap-group-cn-identifier=sAMAccountName
multiotp -config ldap-group-attribute=memberOf
multiotp -config ldap-ssl=0
multiotp -config ldap-port=389
multiotp -config ldap-domain-controllers=ldap://dc.domain.local:389
multiotp -config ldap-base-dn=DC=point,DC=local
multiotp -config ldap-bind-dn=CN="LDAP Account",CN=Users,DC=domain,DC=local
multiotp -config ldap-server-password=qwerty7!
multiotp -config ldap-in-group=
multiotp -config ldap-network-timeout=10
multiotp -config ldap-time-limit=30
multiotp -config ldap-activated=1
multiotp -config server-secret=secret
multiotp -config server-cache-level=1 server-cache-lifetime=155553000
multiotp -debug -display-log -ldap-users-sync

Где multiotp -config ldap-bind-dn=   нужно указать УЗ, которая подключится Active Directory

А здесь, multiotp -config server-secret=, указываем секретное слово для подключения к серверу miltiOTP

!!ВАЖНО!!

При добавлении новых учетных записей в Active Directory, нужно повторно выполнить команду

multiotp -debug -display-log -ldap-users-sync

Стоит создать запланированную задачу, которая будет проверять наличие новых пользователей автоматически.

4. В этой же папке ищем исполняемый файл webservice_install.cmd и запускаем с правами администратора, нас перекинет на веб-интерфейс.

Не забудь сменить пароль:)

5. Залогинившись, видим список всех УЗ домена, нажимаем print возле учетки, которую хотим настроить.

Для аутентификации можно использовать мобильные решения от Microsoft, Google или любое другое.

Для этого можно считать второй  QR код или вписать seed  с устройства владельца УЗ.

QR

Установка multiOTP-CredentialProvider

Для того чтобы всё это начало работать, установим CredentialProvider.

  1. Указываем IP сервера, на котором был установлен multiOTP.

В нижнее поле впишем секретное слово из конфигурации multiOTP.

2. Включим требуемые настройки.

3. Next >> Install

4. Проверить корректность работы 2fa для настроенного пользователя

На этом настройка двухфакторной авторизации окончена.

Собственно сам результат:

Login with OTP

Подробнее о всех features и конфигах multiOTP можно найти тут.

!!ВАЖНО!!

Для сервера multiOTP стоит создать локального пользователя с правами администратора с параметром (), на всякий случай, чтобы можно было попасть на сервер, если multiOTP перестанет работать. Или же оставить любые другие backdoor-ы, которые будут более надежными, по Вашему мнению.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.