Získejte privacyIDEA
Používáme nejnovější verzi 0.9.1 privacyIDEA.
Získejte server privacyidea, buď přes pip, nebo z github:
$ git klon https://github.com/privacyidea/privacyidea.git
V hlavním adresáři můžete server jednoduše spustit příkazem paster:
$ python setup.py build
$ paster serve config/privacyidea.ini.example
Spouštění serveru v PID 29608.
zobrazování na 0.0.0.0:5001 zobrazení na http://127.0.0.1 :5001
privacyIDEA používá integrované ověřování pro administrativní uživatele. Účty správce se nacházejí v config/admin-users.
V git repo je aa admin (password:test) a admin2 (password:secret). Tento soubor byste měli smazat a vytvořit nového správce:
$ tools/privacyidea-create-pwidresolver-user -u admin -p yourPassword -i 1000> config/admin-users
Nyní se můžete přihlásit do uživatelského rozhraní pro správu na adrese http://localhost:5001 s uživatelem „[email protected]“ a heslem „yourPassword“.
Zaregistrujte si Yubikey
Získejte administračního klienta privacyidea. Pro registraci Yubikey potřebujete moduly pyusb a python-yubico.
$ git klon https://github.com/privacyidea/privacyidea.git
Nyní můžete zavolat příkaz k registraci yubikey. Klient vytvoří tajný klíč, uloží ho na yubikey a odešle tajný klíč na server pro vytvoření nového tokenu:
$ ./privacyideaadm -U http://localhost:5001 [e-mail chráněný] -C yubikey_mass_enroll --yubislot=1
Zadejte heslo pro '[e-mail chráněný]':
Vložte prosím další yubikey.
Nalezen Yubikey se sériovým číslem '00508326'
{ u'status':True, u'value':True}
Vložte prosím další yubikey.^C
Ve správě webu nyní uvidíte token se sériovým UBOM..., což znamená "Yubikey, Oath Mode". Stisknutí tlačítka Yubikey vyšle 6místnou hodnotu OTP. Zkus to!
Kde jsou moji uživatelé?
Nasměrujte svůj prohlížeč na správu privacyIDEA http://localhost:5001. Zobrazí se vám přihlašovací formulář. Toto přihlášení používají běžní uživatelé pro přístup k samoobslužnému portálu, ale také správci pro přístup k rozhraní pro správu tokenů.
Přihlaste se pomocí účtu správce, který jste vytvořili. Nezapomeňte přidat @admin, takže pokud jste vytvořili use superruth, měli byste se přihlásit jako [email protected]
Nyní vytvoříte svůj první Resolver, který je ve skutečnosti jakýmsi ukazatelem na místo, kde se nacházejí vaši uživatelé.
Přejděte na privacyIDEA Config -> useriresolvers zvolte "nový" a vytvořte "plochý soubor" resolber z vašeho /etc/passwd
Nyní umístíte resolver do sféry. Přejděte do privacyIDEA config -> realms, vytvořte nový realm, zadejte název sféry a vyberte resolver, který jste právě vytvořili.
Uživatele budete moci vidět na záložce "uživatelský pohled".
Vyberte uživatele a vyberte token. Klikněte na tlačítko "přiřadit" na levé straně. Token nyní patří uživateli, můžete zadat další PIN, například „test“.
Podívejte se na to!
Protože token nyní patří uživateli, uživatel se nyní může pomocí tohoto tokenu ověřit.
Znovu vložte yubikey.
K testování autentizace použijeme webové API. Ve svém prohlížeči můžete zavolat:
http://localhost:5001/validate/check?user=bin&pass=test......
což vám dá následující výsledek:
{
"version": "privacyIDEA 0.9",
"jsonrpc": "2.0",
"result": {
"status": true,
"value": true
},
"id": 0
}
"value":"true" znamená, že ověření bylo úspěšné.
PrivacyIDEA, jako fork LinOTP, od nynějška používá stejné API se stejnou odezvou jako LinOTP. Tj. můžete použít autentizační moduly/pluginy, které lze také použít pro LinOTP.
Pokud se vše pokazí, měli byste se podívat na kartu auditu.
Produkce
Pro produktivní použití byste měli místo pasteru používat databázi jako MySQL nebo PostgreSQL a webový server Apache nebo nginx. Toto bude součástí dalšího návodu.