RADIUS PAM-модулі на комп’ютерах під керуванням Linux/Mac
Машини Linux/Mac можуть використовувати ESA для 2FA через реалізацію Pluggable Authentication Module (PAM), що працюватиме як клієнт RADIUS, обмінюючись даними з сервером ESA RADIUS.
Загалом, для будь-якої служби, яка використовує RADIUS, можна налаштувати використання сервера ESA RADIUS.
PAM — це набір динамічних бібліотек C ((.so)), які використовуються для додавання спеціальних рівнів в процес автентифікації. Вони можуть виконувати додаткові перевірки, а потім дозволяти/забороняти доступ. У цьому разі ми використовуємо модуль PAM, щоб запропонувати користувачу ввести OTP на комп’ютері Linux або Mac, який приєднано до домену Active Directory, і перевірити його з використанням даних на сервері ESA RADIUS.
У цьому керівництві описано використання модуля The PAM Authentication and Accounting зі складу FreeRADIUS. Але можна використовувати інші клієнти RADIUS PAM.
У базовій конфігурації (яка описана тут) використовується функція Access-Challenge RADIUS, яка підтримується як сервером ESA RADIUS, так і використовуваним клієнтом RADIUS PAM. Інші параметри, які не використовують метод Access-Challenge, стисло описано в розділі Інші конфігурації RADIUS цього керівництва.
Увага Спочатку налаштуйте клієнт Linux/MacRADIUS на ESA Web Console. Введіть IP-адресу свого комп’ютера Linux/Mac у полі IP Address. Виберіть у розкривному меню Client Type опцію Client does not validate user name and password - use Access-Challenge. |
Виконавши ці дії, налаштуйте свій комп’ютер під керуванням ОС Linux або Mac відповідно до інструкцій у наведених далі підрозділах.