Ayuda en línea de ESET

Seleccionar el tema

Configuración de PAM

Configurar un dominio personalizado

1.Cree un dominio personalizado para usuarios que inician sesión a través de un módulo PAM.

2.Al configurar el cliente RADIUS, seleccione el dominio personalizado en la sección Usuarios.


note

Experiencia personalizada frente al dominio actual de AD

Si se selecciona un experiencia personalizada y el módulo PAM envía el "dominio\nombre de usuario" al servidor ESA RADIUS, se crea un usuario con el nombre de usuario "dominio\nombre de usuario" en el proceso personalizado.

Si selecciona el dominio actual de AD o el dominio actual de AD y los dominios de confianza en lugar de un proceso personalizado y el módulo PAM envía "dominio\nombre de usuario" al servidor ESA RADIUS, se creará un usuario con el nombre de usuario "nombre de usuario" en la experiencia de "dominio".

Módulo de autenticación PAM

1.Descargue PAM RADIUS tar.gz desde https://freeradius.org/sub_projects/

2.Para extraer el paquete descargado, ejecute el siguiente comando en una ventana de la terminal:

tar xzvf pam_radius-release_2_0_0.tar.gz

3.Cree la biblioteca .so al ejecutar los siguientes comandos en una ventana de terminal:
 
cd pam_radius-release_2_0_0
./configure
make
 
En Linux, por ejemplo, OpenSuse, según el resultado del comando configure, es posible que necesite instalar las dependencias.
 
sudo zypper install gcc make pam-devel

4.Copie la biblioteca creada en la ubicación predeterminada de los módulos de PAM
 
Linux:
cp pam_radius_auth.so /lib/security
o
cp pam_radius_auth.so /lib64/security
 
Mac:
cp pam_radius_auth.so /usr/lib/pam

En OS X El Capitan y posterior, esta ubicación está protegida por System Integrity Protection. Para utilizarla, debe deshabilitarla para el comando de copia.

5.Cree un archivo de configuración del servidor con el nombre server en /etc/raddb/. En él, introduzca los detalles del servidor RADIUS de la siguiente forma:
<radius server>:<port> <shared secret> <timeout in seconds>
 
Por ejemplo:
1.1.1.1 test 60

donde:

1.1.1.1 representa la dirección IP del servidor RADIUS de ESA

test es el secreto compartido de un cliente RADIUS configurado en ESA Web Console

60 es el tiempo en segundos durante el cual se aguardará para que se apruebe la notificación push

6.Aplique los permisos de seguridad correspondientes al archivo de configuración

chown root /etc/raddb

chown root /etc/raddb/server

chmod 600 /etc/raddb

chmod 600 /etc/raddb/server

 

Consulte INSTALAR para obtener recomendaciones de seguridad para el archivo de configuración y USO para los parámetros que pueden pasarse a la biblioteca. Por ejemplo, puede usar el parámetro 'debug' para identificar posibles problemas.

Incorporación del módulo PAM

Los módulos PAM pueden incorporase a diferentes tipos de inicio de sesión, por ejemplo, login, sshd, su, sudo y así sucesivamente. La lista de tipos de inicio de sesión disponibles se encuentra en /etc/pam.d/.

sshd: inicio de sesión remoto con SSH


note

Asegúrese de definir ChallengeResponseAuthentication comoyes en /etc/ssh/sshd_config.

sudo

su

common-auth: OpenSUSE (todas las autenticaciones)

login: OpenSUSE (inicio de sesión en la consola)

authorization: pantalla de inicio de sesión en macOS

Para habilitar la autenticación de dos factores para cualquiera de los servicios mencionados, agregue la siguiente línea al archivo de configuración correspondiente en /etc/pam.d:

auth required pam_radius_auth.so use_first_pass

En el comando de arriba, pam_radius_auth.so representa la ruta a un módulo PAM previamente configurado, o bien, será "pam_radius_auth.so". use_first_pass garantiza que el módulo PAM no requiera una contraseña adicional (OTP) en vano, excepto que RADIUS de ESA requiera el segundo factor. Por ejemplo, si un usuario con protección 2FA tiene la autenticación push habilitada, el módulo PAM espera únicamente la aprobación de la notificación push sin que sea necesario introducir una OTP.

Para garantizar que no se solicite 2FA cuando falla el primer factor, modifique auth required pam_unix.so por auth requisite pam_unix.so

En ciertas interfaces de inicio de sesión, incluida la pantalla de inicio de sesión de macOS, no se muestra un campo individual para 2FA. En dichos casos, solo los usuarios que utilizan la autenticación push (push de aplicación móvil), o usuarios no 2FA o usuarios de una lista de direcciones IP autorizadas pueden iniciar sesión. Para asegurarse de que solo se utilicen las notificaciones push para aplicaciones móviles sin pedir una OTP, aún cuando el usuario tenga la opción 2FA adicional habilitada, agregue client_id=challenge_never a la línea de configuración:

auth required pam_radius_auth.so use_first_pass client_id=challenge_never

Valores disponibles para client_id:

challenge_if_possible: la opción predeterminada pide siempre una OTP en caso de que el usuario tenga algún tipo de OTP habilitada, incluso si el envío de “Push para aplicación móvil” resultó exitoso.

challenge_always: pide siempre una OTP, incluso si el envío de “Push para aplicación móvil” resultó exitoso y el usuario no tiene ningún tipo de OTP habilitada. Le permite introducir MRK si algo sale mal (esto se recomienda para varios escenarios, por ejemplo, inicio de sesión de SSH en un servidor remoto al que no se puede acceder de otro modo).

challenge_if_needed: jamás pide una OTP si el envío de “Push para aplicación móvil” resultó exitoso. Por lo tanto, se evitan solicitudes/campos adicionales de OTP y se permite un inicio de sesión más rápido.

challenge_never: jamás pide una OTP.

En ciertas distribuciones de Linux, es posible modificar el administrador de inicio de sesión de manera sencilla. Por ejemplo, gdm es compatible con el pedido de información adicional.