2FA通过freeRADIUS，忽略密码

Question

我的任务是设置freeRADIUS以提示用户输入他们的第二个身份验证因子(例如。谷歌认证( OTP)，但没有首先检查用户的密码。

我完全失明了，之前没有半径经验。我们有一个webapp，提示用户登录，所以密码认证已经完成。然后，我们需要提示用户输入第二个身份验证因子，以便执行某些操作。我们不想反复要求用户输入他们的密码(显然，在本地缓存密码是不可能的)，所以我们想要做的是以某种方式配置freeRADIUS，使它能够：

• 忽略我们在初始请求中为密码传递的值。
• 返回一个挑战响应，这将提示用户输入他们的第二个身份验证因子(例如。(检察官办公室)

这是否可行呢？就像我说的，我没有任何以前的半径经验，所以如果这是一个愚蠢的问题，很抱歉。

Answer 1

我自己想出来的。如果有人感兴趣，这与/etc/pan.d/radiusd中的配置有关。

首先，按照以下教程之一将设置为freeRADIUS服务器上的第二个因素：

https://networkjutsu.com/freeradius-google-authenticator/https://www.supertechguy.com/help/security/freeradius-google-auth/

当涉及更改/etc/amam.d/radiusd时，请使用以下配置之一：

1. 提示密码和Google : Auth必需的pam_google_authenticator.so forward_pass auth需要pam_unix.so use_first_pass帐户需要pam_unix.so audit帐户需要pam_permit.so
2. 只提示Google (即没有密码)：Auth必需的pam_google_authenticator.so 帐户需要pam_unix.so audit帐户必需的pam_permit.so

请注意，这不会发送挑战响应-它只是意味着密码不需要输入的第一。

Answer 2

Radius是一种网络认证/授权/计费协议。它在OSI模型的第三层运行。

您的web应用程序在第7层运行。

所以这里有点不匹配。您可以使用Radius对网络连接(如WiFi或网络端口)进行身份验证，但您需要基于http的web应用程序。

我做了一些假设，但听起来好像您有一个Radius服务器来对网络上的用户进行身份验证，并且利用了相同的用户数据库来对web应用程序中的用户进行身份验证。无论web应用程序是否使用Radius协议对用户进行身份验证，当用户在网页中输入用户名和密码时，用户不会说Radius，因此Radius不会帮助您--这需要在web应用程序中完成。

如果您的web应用程序可以访问radius服务器，则可以确定哪个用户是经过身份验证的，并基于此授权/OTP提示符，但这是web应用程序逻辑。FreeRadius中的任何配置都无法为您实现这一目标。

因此，我建议退一步，考虑您的用户数据存储的位置。虽然您可能是针对freeRadius服务器进行身份验证，但是Radius只是一个协议，在后端有一个用户数据库。这可以是LDAP服务器、SQL数据库、pam，也可以是纯文本文件。

假设您有一个公共用户数据库，那么您可以在每个服务的身份验证流程中添加某种Oauth/SAML单点登录应用程序(Okta和PingID是一些商业示例)，以便在一个地方的登录在另一个地方生效。有了SSO，您可以修改您的web应用程序，以便在特定的时间点要求第二个因素(它必须知道用户现有的OTP秘密，或者您可以要求他们为此目的设置另一个OTP秘密)，或者如果您使用的SSO技术支持它，您可以使用某种策略和方法。

总之，我无法单独在freeRadius中找到这样做的方法，即使可以，也可能不应该这样做。要完成授权部分，您总是需要修改应用程序，除非您实现了一些可怕的中间人代理，这种代理完全损害了安全性。