Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
mfa:mfasshotp [2024/04/10 15:12] techer.charles_educ-valadon-limoges.fr |
mfa:mfasshotp [2024/04/10 16:49] (Version actuelle) techer.charles_educ-valadon-limoges.fr |
||
---|---|---|---|
Ligne 27: | Ligne 27: | ||
</ | </ | ||
- | * Véréfiez | + | * Vérifiez |
< | < | ||
Ligne 42: | Ligne 42: | ||
Last login: Wed Jan 3 19:34:10 2024 from 192.168.1.85 | Last login: Wed Jan 3 19:34:10 2024 from 192.168.1.85 | ||
etudiant@serveur: | etudiant@serveur: | ||
+ | </ | ||
===== Configuration du serveur ===== | ===== Configuration du serveur ===== | ||
Ligne 78: | Ligne 79: | ||
</ | </ | ||
- | Nous allons maintenant configurer PAM (Pluggable Authentication Modules), le service qui contrôle les authentifications sur le serveur Debian. | + | ===== Génération du QRCode ===== |
+ | Il faut récupérer le secret en base 32 pour générer un QR code pour l' | ||
+ | |||
+ | < | ||
+ | root@serveur: | ||
+ | HOTP/T30/6 etudiant – 65f43c705ce51c9c058ec8bb4b7f64b656681866 | ||
+ | root@serveur: | ||
+ | Hex secret: 65f43c705ce51c9c058ec8bb4b7f64b656681866 | ||
+ | Base32 secret: MX2DY4C44UOJYBMOZC5UW73EWZLGQGDG | ||
+ | Digits: 6 | ||
+ | Window size: 0 | ||
+ | Start counter: 0x0 (0) | ||
+ | </ | ||
+ | |||
+ | <WRAP center round important> | ||
+ | Attention ! Pour que la partie TOTP soit pleinement fonctionnelle, | ||
+ | |||
+ | </ | ||
+ | |||
+ | ==== Générer le QR Code ==== | ||
+ | |||
+ | |||
+ | < | ||
+ | root@serveur: | ||
+ | |||
+ | root@serveur: | ||
+ | … | ||
+ | -rw-r--r-- 1 etudiant etudiant | ||
+ | </ | ||
+ | |||
+ | Récupérez l' | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Configuration du service d' | ||
+ | |||
+ | Il faut maintenant configurer **PAM** (Pluggable Authentication Modules), le service qui contrôle les authentifications sur le serveur Debian. | ||
+ | < | ||
root@serveur: | root@serveur: | ||
Ligne 89: | Ligne 128: | ||
auth required pam_unix.so nullok_secure | auth required pam_unix.so nullok_secure | ||
auth required pam_oath.so usersfile=/ | auth required pam_oath.so usersfile=/ | ||
+ | </ | ||
+ | <WRAP center round info> | ||
+ | **Explications : ** | ||
+ | * la ligne @include common-auth est commenté car elle empêche l’authentification OTP même en cas de connexion avec le bon mot de passe. | ||
+ | * La ligne suivante impose l’authentification par mot de passe stocké en local sur le système et interdit les mots de passe vides. | ||
+ | * La dernière impose une fois l’authentification par mot de passe réussie, une deuxième authentification par OTP. Nous faisons référence au fichier contenant le (ou les) nom d’utilisateur concerné ainsi que le secret servant à générer des mots de passe à usage unique. Ce mot de passe disposera de 6 chiffres et il sera possible de générer 20 codes à usage unique valides. | ||
- | Nous commentons la ligne @include common-auth car elle empêche l’authentification OTP même en cas de connexion avec le bon mot de passe. | + | </ |
- | + | ||
- | La ligne suivante impose l’authentification par mot de passe stocké en local sur le système et interdit les mots de passe vides. | + | |
- | + | ||
- | La dernière impose une fois l’authentification par mot de passe réussie, une deuxième authentification par OTP. Nous faisons référence au fichier contenant le (ou les) nom d’utilisateur concerné ainsi que le secret servant à générer des mots de passe à usage unique. Ce mot de passe disposera de 6 chiffres et il sera possible de générer 20 codes à usage unique valides. | + | |
- | Il nous reste maintenant à éditer le fichier de configuration | + | ===== Configuration |
+ | Il faut éditer le fichier de configuration du service SSH afin de définir l’usage de l’authentification 2FA. | ||
+ | < | ||
root@serveur: | root@serveur: | ||
Ligne 104: | Ligne 147: | ||
#La ligne ci-dessous est normalement déjà décommentée | #La ligne ci-dessous est normalement déjà décommentée | ||
UsePAM yes | UsePAM yes | ||
+ | </ | ||
- | Nous nous assurons de commenter | + | * commentez |
+ | * activez | ||
+ | Redémarrer | ||
+ | < | ||
root@serveur: | root@serveur: | ||
- | + | </code> | |
- | Enfin, il nous reste à récupérer le secret en base 32 qui nous permettra ensuite de générer sur le poste client un QR code pour notre application Android. | + | |
- | + | ||
- | root@serveur: | + | |
- | HOTP/T30/6 etudiant – 65f43c705ce51c9c058ec8bb4b7f64b656681866 | + | |
- | root@serveur: | + | |
- | Hex secret: 65f43c705ce51c9c058ec8bb4b7f64b656681866 | + | |
- | Base32 secret: MX2DY4C44UOJYBMOZC5UW73EWZLGQGDG | + | |
- | Digits: 6 | + | |
- | Window size: 0 | + | |
- | Start counter: 0x0 (0) | + | |
- | + | ||
- | • Attention ! Pour que la partie TOTP soit pleinement fonctionnelle, | + | |
Configuration du client et de l’application Android FreeOTP+ | Configuration du client et de l’application Android FreeOTP+ | ||
- | Il s’agit maintenant de paramétrer correctement la machine cliente et l’application | + | Il s’agit maintenant de paramétrer correctement la machine cliente et l’application |
- | Nous allons d’abord générer sur le poste client (Ubuntu ou Kali) un fichier png contenant un QR code que nous soumettrons à l’application FreeOTP+. | + | Ouvrez |
- | + | ||
- | etudiant@client: | + | |
- | + | ||
- | etudiant@client: | + | |
- | … | + | |
- | -rw-r--r-- 1 etudiant etudiant | + | |
- | + | ||
- | Nous pouvons ouvrir ce fichier PNG sur le poste client | + | |
Sélectionner l’icône « Appareil photo » en bas à droite. Puis prenez en photo le QR code présent sur l’écran du client. Une nouvelle configuration pour votre utilisateur et votre serveur est automatiquement créée. | Sélectionner l’icône « Appareil photo » en bas à droite. Puis prenez en photo le QR code présent sur l’écran du client. Une nouvelle configuration pour votre utilisateur et votre serveur est automatiquement créée. | ||
Ligne 140: | Ligne 166: | ||
Nous pouvons ensuite supprimer le fichier PNG contenant le QR code, car il contient le secret à ne pas compromettre. | Nous pouvons ensuite supprimer le fichier PNG contenant le QR code, car il contient le secret à ne pas compromettre. | ||
- | Sur le client, | + | Sur le client |
- | + | < | |
- | etudiant@client: | + | etudiant@client: |
(etudiant@192.168.1.90) Password: | (etudiant@192.168.1.90) Password: | ||
(etudiant@192.168.1.90) One-time password (OATH) for `etudiant': | (etudiant@192.168.1.90) One-time password (OATH) for `etudiant': | ||
Ligne 155: | Ligne 181: | ||
Last login: Wed Jan 3 22:17:13 2024 from 192.168.1.85 | Last login: Wed Jan 3 22:17:13 2024 from 192.168.1.85 | ||
etudiant@serveur: | etudiant@serveur: | ||
- | + | </ | |
- | Q11. Expliquer quel est le type d’authentification utilisé ici. | + | |
- | + | ||
====== Retour Accueil Authentification multifacteur ====== | ====== Retour Accueil Authentification multifacteur ====== |