Apache Reverse Proxy и Google Authenticator как 2-факторный аутентификатор

Question

Я искал интернет-отверстие, но не нашел хорошего ответа.

Сценарий: У меня есть веб-сайт Intranet, который должен быть доступен из Интернета. Я добавляю обратный прокси-сервер под Linux/Apache перед ним в dmz.

Целевая задача: Вход в обратный прокси с реальной двухфакторной системой auth с использованием аутентификатора Google (не так, как в этом случае, что является единственным фактором auth: http://www.blogbyben.com/2012/02/getting-google-authenticator-and-apache.html). После входа в обратный прокси маркер входа переадресовывается на веб-сайт интрасети.

Любая идея?

Спасибо!

Answer 1

Под «настоящим двумя факторами» вы подразумеваете, что вы хотите, чтобы имя пользователя, пароль и токен - а не только имя пользователя и токен, правильно?

Итак, вот один из вариантов - можно настроить PAM на Linux, чтобы потребовать пароль, который является конкатенацией пароля и кода. См .: http://google-authenticator.googlecode.com/git/libpam/README. Затем вы можете использовать apache auth через PAM (http://pam.sourceforge.net/mod_auth_pam/configure.html) в качестве authn для вашего обратного прокси-сервера apache и voila.

Теперь я на самом деле не пробовал это, и возможно, что он будет пытаться каждый раз проверять пароль (чтобы вы вошли в систему только для одного запроса, прежде чем код станет недействительным!), Я хочу использовать mod_auth_pam в сочетании с mod_auth_form, который позволяет вам установить cookie сеанса, чтобы обойти проверку пароля во время сеанса.

Я реализовал нечто подобное, но не все части.

Хотелось бы узнать, работает ли он!