Duo Security tại Cisco là nhà cung cấp dịch vụ xác thực đa yếu tố (MFA) dựa trên đám mây. MFA cho phép bảo mật ngăn chặn tin tặc giả mạo người dùng đã xác thực. Duo cho phép quản trị viên yêu cầu nhiều tùy chọn để xác thực thứ cấp. Với xác thực đa yếu tố, ngay cả khi tin tặc đánh cắp tên người dùng và mật khẩu, anh ta vẫn không thể dễ dàng được xác thực với dịch vụ mạng mà không có thiết bị của người dùng.

SSH Multi-Factor Authentication (MFA) với Duo là một tính năng mới được giới thiệu trong OneFS 8.2. Hiện tại, OneFS hỗ trợ SSH MFA với dịch vụ Duo thông qua SMS (dịch vụ tin nhắn ngắn), gọi lại qua điện thoại và thông báo Đẩy qua ứng dụng Duo. Blog này mô tả cách tích hợp OneFS SSH MFA với dịch vụ Duo.

Duo hỗ trợ nhiều loại ứng dụng, chẳng hạn như Microsoft Azure Active Directory, Cisco Webex và Amazon Web Services. Đối với cụm OneFS, nó xuất hiện dưới dạng mục nhập “Ứng dụng Unix”. Để tích hợp OneFS với dịch vụ Duo, bạn phải cấu hình dịch vụ Duo và cụm OneFS. Trước khi cấu hình OneFS với Duo, bạn cần có tài khoản Duo. Trong blog này, chúng tôi đã sử dụng tài khoản phiên bản dùng thử cho mục đích trình diễn.

Chế độ dự phòng

Theo mặc định, chế độ SSH failback cho Duo trong OneFS là “safe”, cho phép xác thực chung nếu dịch vụ Duo không khả dụng. Chế độ “secure” sẽ từ chối quyền truy cập SSH nếu dịch vụ Duo không khả dụng, bao gồm cả người dùng bypass, vì người dùng bypass được xác định và xác thực trong dịch vụ Duo. Để cấu hình chế độ failback trong OneFS, hãy chỉ định tùy chọn –failmode bằng lệnh sau:

# isi auth duo sửa đổi --failmode

Nhóm loại trừ

Theo mặc định, tất cả các nhóm đều phải sử dụng Duo trừ khi nhóm được cấu hình để bỏ qua xác thực Duo. Tùy chọn nhóm cho phép bạn loại trừ hoặc chỉ định các nhóm người dùng chuyên dụng khỏi việc sử dụng xác thực dịch vụ Duo. Phương pháp này cung cấp một cách để cấu hình người dùng để họ vẫn có thể SSH vào cụm ngay cả khi dịch vụ Duo không khả dụng và chế độ dự phòng được đặt thành “bảo mật”. Nếu không, tất cả người dùng có thể bị khóa khỏi cụm trong tình huống này.

Để cấu hình tùy chọn nhóm loại trừ, hãy thêm ký tự chấm than “!” trước tên nhóm và đứng trước dấu hoa thị để đảm bảo rằng tất cả các nhóm khác đều sử dụng dịch vụ Duo. Ví dụ:

# isi auth bộ đôi sửa đổi --groups=”*,!groupname”

Lưu ý: zsh shell yêu cầu phải thoát dấu “!”. Trong trường hợp này, ví dụ trên phải được thay đổi thành:

# isi auth bộ đôi sửa đổi --groups=”*,\!groupname”

Chuẩn bị dịch vụ Duo cho OneFS

1. Sử dụng tài khoản Duo mới của bạn để đăng nhập vào Duo Admin Panel . Chọn mục Application từ menu bên trái, sau đó nhấp vào Protect an Application , như thể hiện trong Hình 1.

Hình 1 Bảo vệ ứng dụng

2. Nhập “ Unix Application ” vào thanh tìm kiếm. Nhấp vào Protect this Application để tạo mục nhập UNIX Application mới.

Hình 2 Tìm kiếm ứng dụng UNIX

3. Cuộn xuống trang tạo để tìm phần Cài đặt . Nhập tên cho Ứng dụng UNIX mới. Hãy thử sử dụng tên có thể nhận dạng cụm OneFS của bạn, như thể hiện trong Hình 3. Trong phần Cài đặt , bạn cũng có thể tìm thấy cài đặt chuẩn hóa tên của Duo. 

Theo mặc định, chuẩn hóa tên người dùng Duo không nhận biết AD. Điều này có nghĩa là nó sẽ thay đổi tên người dùng đến trước khi cố gắng khớp chúng với tài khoản người dùng. Ví dụ: “DOMAIN\username”, ” username@domain.com “, và “username” được coi là cùng một người dùng. Để biết các tùy chọn khác, hãy tham khảo tại đây .

Hình 3 Tên ứng dụng UNIX

4. Kiểm tra thông tin bắt buộc cho OneFS trong phần Chi tiết , bao gồm tên máy chủ API , khóa tích hợp và khóa bí mật , như thể hiện trong Hình 4.

Hình 4 Thông tin bắt buộc cho OneFS

5. Đăng ký người dùng theo cách thủ công. Trong ví dụ này, chúng tôi đang tạo một người dùng có tên là admin , đây là người dùng quản trị OneFS mặc định. Chuyển mục menu sang Users và nhấp vào nút Add User , như thể hiện trong Hình 5. Để biết chi tiết về việc đăng ký người dùng trong dịch vụ Duo, hãy tham khảo tài liệu Duo Enrolling Users .

Hình 5 Đăng ký người dùng

6. Nhập tên người dùng như thể hiện trong Hình 6.

Hình 6 Đăng ký người dùng thủ công

7. Tìm cài đặt Điện thoại trong trang người dùng và nhấp vào nút Thêm điện thoại để thêm thiết bị cho người dùng. Xem Hình 7.

Hình 7 Thêm điện thoại cho người dùng

8. Nhập số điện thoại của bạn.

Hình 8 Thêm điện thoại mới

9. (tùy chọn) Nếu bạn muốn sử dụng phương pháp xác thực Duo push, bạn cần cài đặt ứng dụng Duo Mobile trên điện thoại và kích hoạt ứng dụng Duo Mobile. Như được đánh dấu trong Hình 9, hãy nhấp vào liên kết để kích hoạt ứng dụng Duo Mobile.

Hình 9 Kích hoạt ứng dụng Duo Mobile

Dịch vụ Duo hiện đã sẵn sàng cho OneFS. Bây giờ chúng ta hãy tiếp tục cấu hình OneFS.

Cấu hình và xác minh OneFS

1. Theo mặc định, mẫu thiết lập xác thực được đặt thành “bất kỳ”. Để sử dụng OneFS với dịch vụ Duo, mẫu thiết lập xác thực không được đặt thành “bất kỳ” hoặc “tùy chỉnh”. Nó phải được đặt thành “mật khẩu”, “khóa công khai” hoặc “cả hai”. Trong ví dụ sau, chúng tôi đang cấu hình thiết lập thành “mật khẩu”, sẽ sử dụng mật khẩu người dùng và Duo cho SSH MFA.

# isi ssh sửa đổi --auth-settings-template=password

2. Để xác nhận phương thức xác thực, hãy sử dụng lệnh sau:

# isi ssh settings view| grep "Mẫu thiết lập xác thực"

      Mẫu thiết lập xác thực: mật khẩu

3. Cấu hình thông tin dịch vụ Duo cần thiết và bật nó cho SSH MFA, như được hiển thị ở đây. Sử dụng cùng thông tin như khi chúng tôi thiết lập Ứng dụng UNIX trong Duo, bao gồm tên máy chủ API, khóa tích hợp và khóa bí mật.

# isi auth duo modify --enabled=true --failmode=safe --host=api-13b1ee8c.duosecurity.com --ikey=DIRHW4IRSC7Q4R1YQ3CQ --set-skey 
Nhập khóa: 
Xác nhận:

4. Xác minh SSH MFA bằng cách sử dụng người dùng “admin”. Mật khẩu SMS và mật khẩu của người dùng được sử dụng để xác thực trong ví dụ này, như thể hiện trong Hình 10.

Hình 10 Xác minh SSH MFA

Bây giờ bạn đã hoàn tất cấu hình trên cổng dịch vụ Duo và cụm OneFS của mình! Người dùng SSH phải được xác thực bằng Duo, do đó, bạn có thể tăng cường bảo mật cụm OneFS của mình hơn nữa khi bật MFA.

Tác giả: Lieven Lin