Настраиваем двухфакторную аутентификацию в OPNSense
Задача:
---------------------------------------------------------------Настроить двухфакторную аутентификацию на файерволе OPNSense с использованием Google Authenticator
TOTP (Time-based One-Time Password Algorithm, RFC 6238) – OATH-алгоритм создания одноразовых паролей для защищенной аутентификации.
Двухфакторная аутентификация в OPNsense, в рамках которой необходимо вводит не только постоянный пароль локальной учетной записи, но и ограниченный по сроку действия одноразовый пароль (Time-based One-Time Password). Такая авторизация позволяет более надежно защитить доступ к фаерволу.
Будем настраивать вариант с использованием телефона пользователя с установленным приложением Google Authenticator, которое и будет генерировать одноразовые пароли.
Для правильной настройки 2FA, необходимо проверить настройки сетевого времени. Это важная составляющая в процессе авторизации. Настройки времени доступны в меню: Services > Network Time > General
Если вы пользуетесь стандартным пользователем “root”, советую сразу создать нового и пользователя по-умолчанию отключить. Настройки доступны в разделе: System > Access > Users. Для добавления пользования, воспользуемся кнопкой “Add”
Придумываем имя пользователя и пароль
Для пользователей веб-интерфейса, правильным будет выбрать “/sbin/nologin“, тем самым ограничить доступ пользователю к шелу, и добавить в группу “admins”
Если вы планируете пользоваться шелом, тогда стоит выбрать к примеру “/bin/sh”. Стандартный шел пользователя root: “/usr/local/sbin/opnsense-shell“
Теперь переходим к добавлению сервера аутентификации: System > Access > Servers
Настраиваем следующим образом:
| Descriptive name | TOTP server |
| Type | Local + Timebased One Time Password |
| Token length | 6 (для Google Authenticator используем длину 6) |
| Time window | для Google Authenticator необходимо оставить пустым |
| Grace period | для Google Authenticator необходимо оставить пустым |
| Reverse token order | не отмечаем |
Возвращаемся к настройке пользователя, открываем на редактирование. Отмечаем “Generate new secret (160 bit)” и нажимаем “Save”
После сохранения появится ещё один пункт “OTP QR code”, на против которого нажимаем кнопку “Click to unhide” и сканируем телефоном появившийся QR-код
В OPNSense есть возможность проверить сервер авторизации. Насти его можно в меню: System > Access > Tester. Не забываем, что в поле пароль – необходимо ввести одноразовый пароль + постоянный пароль вместе, без пробелов или других разделителей между паролями.
Теперь необходимо настроить службу для работы с двухфакторной аутентификацией. В OPNSense такой функционал поддерживается в:
- в веб-интерфейсе
- в Captive Portal
- на веб-прокси сервере
- в VPN-серверах (OpenVPN и IPsec)
В нашем случае нас интересует веб-интерфейс: System > Settings > Administration и указываем “TOTP server”
Изменить порядок ввода одноразового и постоянного пароля можно в настройках сервера аутентификации.
- одноразовый пароль + постоянный пароль (используется по умолчанию)
- постоянный пароль + одноразовый пароль – необходимо отметить “Reverse token order”
Интересно по аналогии с этой инструкции получится настроить двухфакторную идентификацию в pfSense?
openvpn с otp по-моему настраивал. я думаю они практически одинаковы, за плюс минус исключением