🌹 🚶 ⁉️ Nginx + Google-प्रमाणक या सब कुछ इतना सरल नहीं है ... 🎶 🏑 👳

गूगल वन-टाइम पासवर्ड के आधार पर nginx में प्राधिकरण।

विभिन्न कारणों से, मुझे अधिकृत करने से मना कर दिया गया है, ताकि पासवर्ड और पासवर्ड वाली फ़ाइल को सुरक्षित न किया जा सके।
ज्ञान के विभिन्न स्तरों के साथ कई उपयोगकर्ता हैं, इसलिए प्रमाण पत्र प्राधिकरण उपयुक्त नहीं है।

उन्होंने नेग्नेक्स (http_auth_request_module) + अपाचे (Google-प्रमाणक-अपाचे-मॉड्यूल) पर आधारित एक समाधान का सुझाव दिया।

उन्होंने इसे कई दिनों तक उठाया, लेकिन यह कैसे काम करता है इसके कुछ बिंदुओं को समझ नहीं सका। आसपास झाँकने का भी पता चला।

विचार इस प्रकार है। प्राधिकरण की जाँच nginx पर ही नहीं अपितु अपाचे सर्वर पर भी होती है। यदि प्राधिकरण पारित किया जाता है, तो निगनेक्स_रेक्वेस्ट सबक्वेरी को अपाचे 'ऑथेंटिकेशन सर्वर' को भेजता है। यदि एचटीटीपी एचटीएस 200 के साथ प्रतिक्रिया करता है, और नेग्नेक्स खुशी से मानता है कि उपयोगकर्ता ने प्राधिकरण पारित कर दिया है।

यह कैसे काम करता है? 'प्राधिकरण सर्वर' पर आप प्रत्येक उपयोगकर्ता के लिए एक फ़ाइल (फ़ाइल नाम - लॉगिन) बनाते हैं जिसमें एक निश्चित सुरक्षित कुंजी होती है।
विवरण में जाने के बिना, हम मानते हैं कि इस सुरक्षित कुंजी और वर्तमान समय के आधार पर, सर्वर की तरफ और क्लाइंट की तरफ से, एक-दूसरे से स्वतंत्र रूप से, हर मिनट एक-समय पासवर्ड उत्पन्न होते हैं।

पासवर्ड बनाने वाले एप्लिकेशन के रूप में उपयोग किया जाता है:

Android के लिए Google प्रमाणक ।
IOS के लिए Google प्रमाणक ।
यदि आपके पास फोन नहीं है, तो विंडोज के लिए एक आवेदन है:
विंडोज के लिए Google प्रमाणक ।
जावा के अंतर्गत भी है ...

थोड़ी देर बाद सर्वर के साथ एप्लिकेशन को कैसे सिंक्रनाइज़ किया जाए, लेकिन अब सर्वर पर कॉन्फ़िगर करने की आवश्यकता क्या है।

दुर्भाग्य से, Nginx के तहत कोई मॉड्यूल नहीं है और यह Nginx कार्यान्वयन की ख़ासियत के कारण नहीं हो सकता है। मैं निश्चित रूप से क्यों नहीं कह सकता, लेकिन उन्होंने राज्य माशीन और इतने पर के बारे में कहा ... :)

लेकिन अपाचे के नीचे एक मॉड्यूल है !!! जिसे Google-प्रमाणक-अपाचे-मॉड्यूल कहा जाता है

सेंट्स 6 के लिए बाइनरी असेंबली भी हैं - यह काम करता है और जांचा जाता है। स्रोत कोड हैं और रेपो में हाल ही में कुछ और है। मैंने बाइनरी असेंबली के साथ चारों ओर खेला और फिर स्रोत से मॉड्यूल को इकट्ठा किया।

तो, अपाचे + गूगल-ऑथेंटिकेशन-अपाचे-मॉड्यूल पर, हम एक "ऑथराइजेशन सर्वर" बनाते हैं (आपके पास विश्वसनीयता के लिए 2 सर्वर भी हो सकते हैं) और Nginx_y को उन सभी सर्वरों से कनेक्ट करें जहां हमें इसकी आवश्यकता है।

इसलिए हम Apache2 लेते हैं, Google-Authator-Apache-मॉड्यूल बाइनरी मॉड्यूल को इकट्ठा या लेते हैं।

और यह विन्यास लिखें:

Loadmodule authn_google_module modules/mod_authn_google.so Listen *:8888 <Location ~ "/(|_auth/)" > #        Nginx_.         :) Order deny,allow Deny from all Allow from 10.0.0.0/8 Allow from 192.168.0.0/24 AuthType Basic AuthName "My Closed Zone Gauth" AuthBasicProvider "google_authenticator" Require valid-user GoogleAuthUserPath /etc/httpd/ga_auth GoogleAuthCookieLife 600 GoogleAuthEntryWindow 3 # GoogleAuthLogLevel -        . GoogleAuthLogLevel 1 </Location>

हम अपाचे को फिर से शुरू करते हैं, इसे ब्राउज़र में खोलने की कोशिश करते हैं - क्या कोई प्राधिकरण अनुरोध है? बहुत बढ़िया !!!

अधिक ...

/ etc / httpd / ga_auth - वह निर्देशिका जहां निजी कुंजी वाली फाइलें हैं।

उन्हें कैसे और कैसे बनाया जाए: google-Authatorator

डाउनलोड करें, libpam-google-Authatorator , इकट्ठा करें google-Authatorator । यहाँ वह वह उत्पन्न कर सकती है जिसकी हमें आवश्यकता है।

मैंने एक स्क्रिप्ट बनाई ताकि फाइल वहीं जाए जहां मुझे इसकी जरूरत थी।

 #!/bin/bash /usr/bin/google-authenticator -t -D -f -l$1@mydomain.com -r3 -R600 -s /etc/httpd/ga_auth/$1 -w2 /bin/chown apache:apache /etc/httpd/ga_auth/$1

हम स्क्रिप्ट में उपयोगकर्ता लॉगिन पैरामीटर पास करते हैं।

स्क्रिप्ट समाप्त होने के बाद, यह एक फाइल बनाएगा और इसे कंसोल में आउटपुट करेगा:

 https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/zzzz@mydomain.auth%3Fsecret%3DQYYY34XXXX534A4QA Your new secret key is: DQYYY34XXXX534A4QA Your verification code is 123456 Your emergency scratch codes are: 99942105 28654999 45999608 33300650 99907825

/ etc / httpd / ga_auth / _user_login_ फ़ाइल में बहुत सी अलग-अलग चीज़ें हैं, लेकिन "आपकी नई गुप्त कुंजी है:" के अलावा Google-प्रमाणक-अपाचे-मॉड्यूल के संचालन को कुछ भी प्रभावित नहीं करता है: ", कम से कम मैंने प्रयोग किया था - कुछ भी नहीं ... ताकि आप केवल पहला छोड़ सकें QUCFKE6AK3PBA4QA के साथ लाइन लेकिन आप फ़ाइल को नहीं छू सकते हैं।

फिर हम लिंक https://www.google.com/chart?chs=200x200&chld=MIND0&cht=qr&chl=otpauth ●totp/zzzz@mydomain.auth%3Fsecec%3DQYY34XXXX534A4QA खोलते हैं
(लिंक जानबूझकर वक्र)
और देखो

अपने फ़ोन पर Google प्रमाणक स्थापित करें (यदि आपने अभी तक इसे स्थापित नहीं किया है)। हम क्यूआर कोड को स्कैन करते हैं, और पूरे फोन में हर मिनट एक बार पासवर्ड उत्पन्न करना शुरू होता है।

आप अपाचे में लॉग इन करने की कोशिश कर सकते हैं, इसे काम करना चाहिए, लेकिन यह 404 जारी कर सकता है - क्योंकि ऑथराइजेशन के बाद अपाचे कुछ तरह के index.html दिखाना चाहता है, लेकिन शायद आपके पास नहीं है।

वैसे google-Authator-apache-मॉड्यूल मॉड्यूल ईमानदारी से / var / log / httpd / error_log को लिखता है।

और इसलिए, हमारे पास एक "प्राधिकरण सर्वर" और एक फोन है - दोनों एक ही समय के पासवर्ड का एक ही अनुक्रम उत्पन्न करते हैं।

चलो nginx कॉन्फ़िगरेशन पर चलते हैं।

हम नगनेक्स फ्रेशर लेते हैं, मैंने अंतिम स्थिर 1.5.7 लिया, हम --with-http_auth_request_module (http_auth_request_module प्रमुख बिंदु) के साथ एकत्र करते हैं।

  auth_request_set $auth_cookie $upstream_http_set_cookie; add_header Set-Cookie $auth_cookie; location = /_auth/ { internal; proxy_pass http://gauth_pool/; proxy_pass_request_body off; proxy_buffering off; proxy_cache off; proxy_set_header Content-Length ""; proxy_set_header Host mydomain.com; }

मैंने एक अलग फ़ाइल में कॉन्फ़िगरेशन के इस टुकड़े को चुना है और मैं इसे जहां आवश्यक हो, शामिल करूंगा।

/etc/nginx/nginx.conf में अंत में अपाचे का पूल जोड़ें + विश्वसनीयता के लिए कम से कम 2 सर्वर

 upstream gauth_pool { server ga1.mydomain.com:8888 weight=1; server ga2.mydomain.com:8888 weight=5; }

अब हमें जहाँ भी नगीनक्स की आवश्यकता होगी, हम जोड़ेंगे:

 server { listen 443 ssl spdy; # listen 80; server_name www.mydomain.com; satisfy any; include /etc/nginx/allow_nets.txt; deny all; auth_request /_auth/; include location_auth.conf;

चेक करें :)

/etc/nginx/allow_nets.txt - आईपी की एक सूची जिसे अधिकृत करने की आवश्यकता नहीं है। मुझे लगता है कि प्राधिकरण के साथ सभी को पीड़ा देना आवश्यक नहीं है।

अब सबसे दिलचस्प बात है सूक्ष्मताएं:

यह सब इस प्रकार काम करता है।

लॉग इन किया। जब आप साइट पर काम कर रहे होते हैं, तो आपके कुकी प्राधिकरण की लगातार जाँच की जाती है
set-cookie: google_authn=user:1390714695:FRxZCSDzox/a5KEGXXXXXXX5TYGIYZrRf=

यह लगातार अपडेट किया जाता है, 1390714695 - वह समय जब कुकी समाप्त हो जाती है। यह अपाचे कॉन्फिगर से वर्तमान समय + {GoogleAuthCookieLife 600} को लगातार अपडेट कर रहा है। इस समय को हम पृष्ठ पर निष्क्रियता कह सकते हैं। 10 मिनट के लिए छोड़ दिया - फिर से लॉग इन करें।

और दूसरा बिंदु। आपके द्वारा दर्ज किया गया वन-टाइम पासवर्ड हमेशा के लिए नहीं रहता है। सामान्य तौर पर, यह शब्द 1 मिनट का है और यह है। लेकिन पैरामीटर का उपयोग करते हुए
GoogleAuthEntryWindow 3, आप पासवर्ड के "टाइम विंडो" का विस्तार कर सकते हैं।
मुद्दा यह है कि Google-प्रमाणक-अपाचे-मॉड्यूल, वर्तमान पासवर्ड के अलावा, GoogleAuthEntryWindow पासवर्ड को पहले और बाद में उत्पन्न कर सकते हैं, ऐसा इसलिए किया जाता है ताकि यदि आपके मोबाइल पर घड़ी और सर्वर पर मौजूद घड़ी का मेल न हो, तो भी आप लॉग इन कर सकते हैं।

आप ऐसा कर सकते हैं ताकि आपका वन-टाइम पासवर्ड प्राधिकरण के माध्यम से लंबे समय तक चले, इससे आप प्राधिकरण को "पारित" लंबे समय तक रखने की अनुमति देंगे;

और अंत में, अपाचे से लॉग का एक टुकड़ा:

 [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] **** COOKIE AUTH at T=1390714549, referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] Cookie auth is DECLINED, referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] **** PW AUTH at T=1390714549 user "my_user", referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] getUserSecret with username "my_user", referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] OPENING FILENAME /etc/httpd/ga_auth/my_user, referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] Comparing Authentication @ T=46017151 Code=475002 "332994" vs. "475002", referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] Comparing Authentication @ T=46017151 Code=87841 "332994" vs. "087841", referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] Comparing Authentication @ T=46017151 Code=627132 "332994" vs. "627132", referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] Comparing Authentication @ T=46017151 Code=332994 "332994" vs. "332994", referer: https://www.mydomain.com/ [Sun Jan 20 09:01:49 2014] [error] [client 1.2.3.4] Created cookie expires 1390715149 hash is sEFQLm92bSI= Cookie: google_authn=my_user:1390715149:sEFQLm92bSI=, referer: https://www.mydomain.com/

धीरे-धीरे, या मिनट में एक बार, प्रकार के तार
Comparing Authentication @ T=46017151 Code=87841 "332994" vs.
तब तक कम किया जाएगा जब तक कि आपके पासवर्ड के साथ केवल एक पंक्ति न हो, और एक मिनट के बाद - एक नया द्वारा प्राधिकरण।

Nginx + Google-प्रमाणक या सब कुछ इतना सरल नहीं है ...

More articles: