Настройка двухфакторной аутентификации при входе в MacOS
Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы MacOS с логином и паролем, и вторым фактором с использованием Radius сервера Multifactor.
Возможные способы аутентификации:
- Мобильное приложение MultiFactor
- Telegram
- Звонок (нужно принять вызов и нажать #)
Схема работы
- Системные службы авторизации MacOS используют модуль PAM_RADIUS для проверки второго фактора подлинности;
- Модуль подключается по RADIUS протоколу к облачному серверу Мультифактор или к установленному в сети RADIUS адаптеру;
- Мультифактор отправляет PUSH уведомление или совершает звонок пользователю для подтверждения доступа;
- Пользователь подтверждает PUSH или звонок и входит в операционную систему.
Требования для установки компонента
- Рабочая станция MacOS на базе процессора Intel, начиная с версии OS X Lion;
- Сетевой доступ к radius.multifactor.ru или RADIUS адаптеру, установленному в локальной сети.
Сценарий использования
Защита локального доступа к рабочей станции MacOS дополнительным фактором доступа.
Перед началом работы
В версиях OS X El Capitan или выше, директория с PAM модулями по умолчанию /usr/lib/pam
защищена на запись технологией System Integrity Protection (SIP).
Для целей данного руководства используется находящаяся в исключениях SIP директория /usr/local/lib
. Если вы хотите использовать системную директорию, отключите SIP.
Установите пароль прошивки устройства, чтобы исключить возможность неавторизованного доступа к разделу восстановления Recovery OS. Пароль запрашивается при попытке смены загрузочного диска.
Настройка Мультифактора
- Зайдите в Административную панель Мультифактора, в разделе "Ресурсы" создайте ресурс типа "Сервер" - "Linux сервер";
- Заполните "Название", "Адрес" и "Язык" по вашему усмотрению. Установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора";
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- (Опционально) Установите и настройте Radius адаптер, в случае если вы не хотите работать через облачный RADIUS сервер Multifactor. Убедитесь, что адаптер настроен на работу без проверки первого фактора:
<add key="first-factor-authentication-source" value="None"/>
;
Установка и настройка модуля PAM_RADIUS
Загрузите исходный код модуля
$ wget https://github.com/FreeRADIUS/pam_radius/archive/release_2_0_0.tar.gz
$ tar -xzvf release_2_0_0.tar.gz
Скомпилируйте модуль pam_radius_auth.so
$ cd pam_radius-release_2_0_0
$ ./configure
$ make
Скопируйте модуль в /usr/local/lib
$ cp pam_radius_auth.so /usr/local/lib
Далее создайте файл конфигурации
$ sudo vi /etc/pam_radius_auth.conf
Впишите в него настройки RADIUS сервера Мультифактора, cохраните и закройте редактор (:x)
host SHARED_SECRET 40
где:
- host: адрес сервера (облачный
radius.multifactor.ru
или локальный); - SHARED_SECRET: скопируйте соответствующий параметр Shared Secret из настроек ресурса MacOS Logon Мультифактор;
- 40: таймаут ожидания запроса с запасом.
В файле хранится секретный ключ, поэтому установите на него права доступа на чтение только пользователю root
$ sudo chmod 0600 /etc/pam_radius_auth.conf