Tuyên bố miễn trừ trách nhiệm: Hướng dẫn này áp dụng cho privacyIDEAphiên bản 2.X. Tại thời điểm viết bài, phiên bản hiện tại là 2.12.1.
Wordpress là HỆ THỐNG blog phổ biến rộng rãi không chỉ được sử dụng cho các trang blog cá nhân mà đôi khi còn được sử dụng làm CMS cho các trang web của công ty.
Wordpress được bảo trì rất tốt và dễ cập nhật. Nhưng vì nó được sử dụng rộng rãi nên nó cũng là mục tiêu thú vị cho những kẻ bẻ khóa (tránh nói đến tin tặc).
Đây là lý do tại sao hôm nay tôi sẽ cho bạn biết cách bảo mật tài khoản WordPress bằng yếu tố thứ hai để xác thực OTP.
Tạo một số người dùng, quản trị viên và một số biên tập viên. Tôi đã tạo người dùng admin, fred và [TR]markus.
Để kết thúc, hôm nay trên Ubuntu 14.04 LTS, việc cài đặt privacyIDEA dễ dàng như sau:
Tạo các lệnh gọi quản trị viên "super":
Xong. Đăng nhập tại https://yourserver với quản trị viên bạn vừa tạo.
Để điều này hoạt động đúng, chúng ta cần tạo một trình phân giải id người dùng, cho privacyIDEA biết nơi tìm người dùng và miền. Đi tới privacyIDEA Config->Usersvà nhấp vào "New SQL Resolver".
Tôi đã cài đặt privacyIDEA trên cùng một máy với WordPress. Và cơ sở dữ liệu MySQL của WordPress cũng nằm trên cùng một máy. Nếu cơ sở dữ liệu SQL của bạn nằm trên một máy khác, bạn cần lưu ý rằng privacyIDEA phải có thể truy cập cơ sở dữ liệu SQL qua mạng.
Ở trên cùng, bạn cần nhập tất cả thông tin cho kết nối SQL. Ở dưới cùng trong Thuộc tính SQL, bạn chỉ cần nhấp vào nút "Wordpress" và định nghĩa bảng và cột chính xác sẽ được nhập. (privacyIDEA cũng biết các cài đặt trước của bảng cho OTRS, Tine2.0 và OwnCloud!)
Bạn có thể nhấp vào nút "Kiểm tra" và bạn sẽ thấy rằng privacyIDEA đã tìm thấy người dùng WordPress.
Bây giờ bạn cần tạo một miền, chứa trình phân giải mà chúng ta vừa tạo. Hãy nghĩ về trình phân giải như các liên kết đến kho lưu trữ người dùng và miền như các kho lưu trữ người dùng được kết hợp với một nhóm người dùng.
Đọc thêm về trình phân giải và miền.
Đi đến Config->Miền để tạo một miền mới "wordpress", chứa trình phân giải wordpress. Trong ảnh chụp màn hình của tôi, bạn có thể thấy rằng tôi đã định cấu hình một loạt miền. Bạn có thể muốn đặt miền "wordpress" của mình làm miền mặc định.
Bây giờ bạn có thể xem danh sách người dùng tại menu Người dùng.
Bạn có thể thấy rằng Fred hiện không có mã thông báo.
Bây giờ hãy nhấp vào nút "Đăng ký mã thông báo mới".
Bạn có thể chọn loại mã thông báo. Chúng tôi chọn HOTP, hoạt động với Google Authenticator. Bạn cũng có thể chọn TOTP và sử dụng FreeOTP hoặc OTP Authenticator.
Sau khi nhấn "Đăng ký mã thông báo", bạn có thể quét mã QR bằng Ứng dụng:
Sau đó, Ứng dụng sẽ có thể tạo mật khẩu một lần. Người dùng sẽ phải xác thực bằng mật khẩu tĩnh (yếu tố thứ nhất) và mật khẩu một lần do ứng dụng tạo ra (yếu tố thứ hai). Nếu bạn muốn người dùng xác thực bằng mật khẩu tĩnh từ WordPress (trong trường hợp này, người dùng có thể thay đổi mật khẩu tĩnh của mình trong WordPress), bạn cần đặt chính sách sau trong Config -> Policies.
Tạo chính sách mới trong scope=authentication và với otppin=userstore.
Bạn có thể đi đến chi tiết mã thông báo và kiểm tra xác thực mã thông báo bằng cách nối mật khẩu WordPress của bạn và giá trị OTP như "mySecretWordpressPa$$123456".
Nếu bạn đã xác thực thành công, bạn đã sẵn sàng để thiết lập WordPress!
Bây giờ hãy đăng nhập vào cài đặt WordPress của bạn và cài đặt và kích hoạt plugin xác thực mạnh.
Trong phần cài đặt, bạn có thể định cấu hình plugin xác thực mạnh để sử dụng cài đặt cục bộ của máy chủ privacyidea. Nhớ thêm https và cổng. Trong trường loại trừ người dùng, bạn có thể xác định tên người dùng, những người không nên được xác minh với privacyidea. Đây là một khả năng tốt để có một số loại tài khoản khẩn cấp nếu bạn cấu hình sai plugin hoặc dịch vụ của bạn ngừng hoạt động.
Nếu bạn không đặt "wordpress" làm miền mặc định, bạn cần chỉ định tên miền tại đây.
Bây giờ bạn có thể xác thực bằng yếu tố thứ hai theo lựa chọn của mình.
Chúc bạn viết blog vui vẻ!
Ngoài ra, bạn có thể sử dụng cài đặt privacyIDEA của mình để xác thực người dùng tại các ứng dụng khác - có thể là các ứng dụng web hoặc hệ thống khác như OpenVPN hoặc SSH.
Bạn cũng có thể sử dụng một miền riêng biệt trong cấu hình WordPress của mình để sử dụng một cài đặt privacyIDEA cho nhiều phiên bản WordPress. Do đó, cung cấp xác thực hai yếu tố cho toàn bộ trang trại WordPress với việc quản lý tất cả các thiết bị xác thực trong một hệ thống privacyIDEA.
Wordpress là HỆ THỐNG blog phổ biến rộng rãi không chỉ được sử dụng cho các trang blog cá nhân mà đôi khi còn được sử dụng làm CMS cho các trang web của công ty.
Wordpress được bảo trì rất tốt và dễ cập nhật. Nhưng vì nó được sử dụng rộng rãi nên nó cũng là mục tiêu thú vị cho những kẻ bẻ khóa (tránh nói đến tin tặc).
Đây là lý do tại sao hôm nay tôi sẽ cho bạn biết cách bảo mật tài khoản WordPress bằng yếu tố thứ hai để xác thực OTP.
Wordpress
Tôi cho rằng bạn đã cài đặt WordPress trên hệ thống của mình theo một số hướng dẫn như hướng dẫn này.Tạo một số người dùng, quản trị viên và một số biên tập viên. Tôi đã tạo người dùng admin, fred và [TR]markus.
Cài đặt privacyIDEA
Bây giờ bạn cần cài đặt privacyIDEA. Có lẽ bạn đã thực hiện việc này sau một số kịch bản trong tài liệu trực tuyến.Để kết thúc, hôm nay trên Ubuntu 14.04 LTS, việc cài đặt privacyIDEA dễ dàng như sau:
Mã:
add-apt-repository ppa:privacyidea/privacyidea
apt-get update
apt-get install privacyidea-apache2
Mã:
pi-manage admin addsuperCấu hình privacyIDEA
privacyIDEA có thể đọc người dùng từ cài đặt WordPress của bạn. Vì vậy, mỗi khi bạn tạo người dùng mới trong WordPress, privacyIDEA sẽ thấy điều này và bạn sẽ có thể chỉ định mã thông báo OTP mới cho người dùng này.Để điều này hoạt động đúng, chúng ta cần tạo một trình phân giải id người dùng, cho privacyIDEA biết nơi tìm người dùng và miền. Đi tới privacyIDEA Config->Usersvà nhấp vào "New SQL Resolver".
Tôi đã cài đặt privacyIDEA trên cùng một máy với WordPress. Và cơ sở dữ liệu MySQL của WordPress cũng nằm trên cùng một máy. Nếu cơ sở dữ liệu SQL của bạn nằm trên một máy khác, bạn cần lưu ý rằng privacyIDEA phải có thể truy cập cơ sở dữ liệu SQL qua mạng.
Ở trên cùng, bạn cần nhập tất cả thông tin cho kết nối SQL. Ở dưới cùng trong Thuộc tính SQL, bạn chỉ cần nhấp vào nút "Wordpress" và định nghĩa bảng và cột chính xác sẽ được nhập. (privacyIDEA cũng biết các cài đặt trước của bảng cho OTRS, Tine2.0 và OwnCloud!)
Bạn có thể nhấp vào nút "Kiểm tra" và bạn sẽ thấy rằng privacyIDEA đã tìm thấy người dùng WordPress.
Bây giờ bạn cần tạo một miền, chứa trình phân giải mà chúng ta vừa tạo. Hãy nghĩ về trình phân giải như các liên kết đến kho lưu trữ người dùng và miền như các kho lưu trữ người dùng được kết hợp với một nhóm người dùng.
Đọc thêm về trình phân giải và miền.
Đi đến Config->Miền để tạo một miền mới "wordpress", chứa trình phân giải wordpress. Trong ảnh chụp màn hình của tôi, bạn có thể thấy rằng tôi đã định cấu hình một loạt miền. Bạn có thể muốn đặt miền "wordpress" của mình làm miền mặc định.
Bây giờ bạn có thể xem danh sách người dùng tại menu Người dùng.
Đăng ký mã thông báo
Hãy đăng ký mã thông báo Google Authenticator cho người dùng fred. Vui lòng cài đặt Google AuthenticatorApp và chọn người dùng fred trong chế độ xem người dùng.Bạn có thể thấy rằng Fred hiện không có mã thông báo.
Bây giờ hãy nhấp vào nút "Đăng ký mã thông báo mới".
Bạn có thể chọn loại mã thông báo. Chúng tôi chọn HOTP, hoạt động với Google Authenticator. Bạn cũng có thể chọn TOTP và sử dụng FreeOTP hoặc OTP Authenticator.
Sau khi nhấn "Đăng ký mã thông báo", bạn có thể quét mã QR bằng Ứng dụng:
Sau đó, Ứng dụng sẽ có thể tạo mật khẩu một lần. Người dùng sẽ phải xác thực bằng mật khẩu tĩnh (yếu tố thứ nhất) và mật khẩu một lần do ứng dụng tạo ra (yếu tố thứ hai). Nếu bạn muốn người dùng xác thực bằng mật khẩu tĩnh từ WordPress (trong trường hợp này, người dùng có thể thay đổi mật khẩu tĩnh của mình trong WordPress), bạn cần đặt chính sách sau trong Config -> Policies.
Tạo chính sách mới trong scope=authentication và với otppin=userstore.
Bạn có thể đi đến chi tiết mã thông báo và kiểm tra xác thực mã thông báo bằng cách nối mật khẩu WordPress của bạn và giá trị OTP như "mySecretWordpressPa$$123456".
Nếu bạn đã xác thực thành công, bạn đã sẵn sàng để thiết lập WordPress!
Xác thực mạnh của Wordpress
Máy chủ privacyIDEA của bạn được thiết lập đúng và người dùng có mã thông báo OTP đang hoạt động.Bây giờ hãy đăng nhập vào cài đặt WordPress của bạn và cài đặt và kích hoạt plugin xác thực mạnh.
Trong phần cài đặt, bạn có thể định cấu hình plugin xác thực mạnh để sử dụng cài đặt cục bộ của máy chủ privacyidea. Nhớ thêm https và cổng. Trong trường loại trừ người dùng, bạn có thể xác định tên người dùng, những người không nên được xác minh với privacyidea. Đây là một khả năng tốt để có một số loại tài khoản khẩn cấp nếu bạn cấu hình sai plugin hoặc dịch vụ của bạn ngừng hoạt động.
Nếu bạn không đặt "wordpress" làm miền mặc định, bạn cần chỉ định tên miền tại đây.
Bây giờ bạn có thể xác thực bằng yếu tố thứ hai theo lựa chọn của mình.
Chúc bạn viết blog vui vẻ!
Kết luận
Chúng tôi đã bật WordPress để có thể xác thực tất cả người dùng bằng yếu tố thứ hai. Yếu tố thứ hai được quản lý bởi một hệ thống bên ngoài. Do đó, bạn có thể chỉ định nhiều thiết bị cho người dùng và bạn có thể chỉ định các thiết bị khác nhau cho người dùng. Một người dùng có thể đăng nhập bằng Google Authenticator, một người dùng khác có yubikey - Mang lại cho bạn sự linh hoạt hơn so với các giải pháp tích hợp với wordpress.Ngoài ra, bạn có thể sử dụng cài đặt privacyIDEA của mình để xác thực người dùng tại các ứng dụng khác - có thể là các ứng dụng web hoặc hệ thống khác như OpenVPN hoặc SSH.
Bạn cũng có thể sử dụng một miền riêng biệt trong cấu hình WordPress của mình để sử dụng một cài đặt privacyIDEA cho nhiều phiên bản WordPress. Do đó, cung cấp xác thực hai yếu tố cho toàn bộ trang trại WordPress với việc quản lý tất cả các thiết bị xác thực trong một hệ thống privacyIDEA.