Настройка 2FA для Mac OS
Автор Nikita Kim, Last modified by Nikita Kim на 01 августа 2024 03:59 PM
|
Оглавление
- Предварительные требования
- Настройка на стороне NPS сервера и Indeed AM
- Установка и настройка модуля PAM
- Включение PAM в SSH
- Настройка 2fa в SSH
- Настройка 1fa в SSH
- Включение PAM для локального входа
- Настройка 2fa для локального входа
- Настройка 1fa для локального входа
- Включение PAM для VNC подключения
- Настройка VNC подключения для Mac OS
- Настройка 2fa для VNC подключения
- Настройка 1fa для VNC подключения
Предварительные требования
Настройка на стороне Indeed AM NPS RADIUS Extension
- В оснастке Network Policy Server необходимо создать новый RADIUS Client, указав имя RADIUS Client’а, IP-адрес и общий секрет:

- Нужно также создать сетевую политику с необходимыми для Вас условиями подключения:

- Создадим новое приложение. В MC консоли, во вкладке “Приложения” нажмите кнопку “Добавить приложение”, в появившемся окне выберите модуль интеграции NPS RADIUS Extension и дайте название, нажмите кнопку “Создать”:


- Откройте созданное приложение, укажите IP-адрес RADIUS Client’а (тот же самый IP-адрес, что мы указывали в оснастке NPS) и нажмите сохранить:

- Далее откройте в MC консоли вкладку “Политики”, выберите политику (либо, если её нет, то создайте, а затем выберите её), нажмите кнопку “Добавить приложение” и выберите созданное ранее приложение:


- Во вкладке “Область действия” добавьте пользователей (можно также добавить группу из AD), которые в дальнейшем будут аутентифицироваться через Indeed AM:

Установка и настройка модуля PAM
- Выполните установку инструментов командной строки XCode:
xcode-select --install
- Выполните установку менеджера сторонних пакетов HomeBrew:
$ /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
- Загрузите программу wget:
$brew install wget
- Загрузите исходный код модуля pam_radius_auth:
$ wget https://github.com/FreeRADIUS/pam_radius/archive/release_2_0_0.tar.gz
$ tar -xzvf release_2_0_0.tar.gz
- Скомпилируйте модуль:
$ cd pam_radius-release_2_0_0
$ ./configure
$ make
- Скопируйте модуль в /usr/local/lib:
$ cp pam_radius_auth.so /usr/local/lib
- Скопируйте файл конфигурации модуля в /etc:
$ sudo cp /usr/local/lib/pam_radius-release_2_0_0/pam_radius_auth.conf /etc/
- Настройте подключение к серверу NPS с модулем NPS RADIUS Extension в файле конфигурации модуля:
$ sudo nano /etc/pam_radius_auth.conf

В файле конфигурации лежит секретный ключ. Рекомендуем настроить права доступа к файлу только для учетной записи root:
$ sudo chmod 0600 /etc/pam_radius_auth.conf
Включение PAM в SSH
- Сделайте backup конфигурационного файла “sshd_config”:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
- Откройте конфигурационный файл “/etc/ssh/sshd_config” и раскомментируйте строки:
AuthenticationMethods keyboard-interactive:pam
ChallengeResponseAuthentication yes
UsePAM yes

Настройка 2fa в SSH
- Сделайте backup конфигурационного файла “sshd”:
sudo cp /etc/pam.d/sshd /etc/pam.d/sshd.backup
- Добавьте в конфигурационный файл следующую строку:
auth required /usr/local/lib/pam_radius_auth.so conf=/etc/pam_radius_auth.conf

- В MC консоли, во вкладке “Политики”, откройте политику, а затем созданное ранее приложение. В нём выберите метод аутентификации “Indeed Key”:
 |