Ottieni privacyIDEA
Utilizziamo l'ultima versione 0.9.1 di privacyIDEA.
Ottieni il server privacyidea, tramite pip o da github:
$ git clone https://github.com/privacyidea/privacyidea.git
Nella directory principale puoi semplicemente avviare il server usando il comando paster:
$ python setup.py build
$ paster serve config/privacyidea.ini.example
Avvio del server in PID 29608.
pubblicazione su 0.0.0.0:5001 vista su http://127.0.0.1 :5001
privacyIDEA utilizza un'autenticazione integrata per gli utenti amministrativi. Gli account amministratore si trovano in config/admin-users.
Nel repository git c'è un admin (password:test) e un admin2 (password:secret). Dovresti eliminare questo file e creare un nuovo amministratore:
$ tools/privacyidea-create-pwidresolver-user -u admin -p yourPassword -i 1000> config/admin-users
Ora puoi accedere all'interfaccia utente di gestione all'indirizzo http://localhost:5001 con l'utente "[email protected]" e la password "yourPassword".
Iscrivi uno Yubikey
Ottieni il client di amministrazione di privacyidea. Per iscriversi alla Yubikey sono necessari i moduli pyusb e python-yubico.
$ git clone https://github.com/privacyidea/privacyidea.git
Ora puoi chiamare il comando per registrare yubikey. Il client creerà una chiave segreta, la memorizzerà su yubikey e invierà la chiave segreta al server per la creazione del nuovo token:
$ ./privacyideaadm -U http://localhost:5001 [email protected] -C yubikey_mass_enroll --yubislot=1
Inserisci la password per '[email protected]':
Inserisci la yubikey successiva.
Trovato Yubikey con seriale '00508326'
{ u'status':True, u'value':True}
Inserisci la prossima yubikey.^C
Nella gestione web vedrai ora un token con il seriale UBOM..., che significa "Yubikey, Oath Mode". Premendo il pulsante Yubikey verrà emesso un valore OTP a 6 cifre. Provalo!
Dove sono i miei utenti?
Punta il tuo browser alla gestione di privacyIDEA http://localhost:5001. Vedrai un modulo di accesso. Questo login viene utilizzato dagli utenti normali per accedere al portale self-service ma anche dagli amministratori per accedere all'interfaccia di gestione dei token.
Accedi con l'account amministratore che hai creato. Ricordati di aggiungere un @admin, quindi se hai creato un use superruth, dovresti accedere come [email protetto]
Ora crei il tuo primo Resolver, che in effetti è una specie di puntatore alla posizione in cui si trovano i tuoi utenti.
Vai su privacyIDEA Config -> useridresolvers scegli "nuovo" e crea un risolutore "file piatto" dal tuo /etc/passwd
Ora metti il risolutore in un regno. Vai su privacyIDEA config -> realms, crea un nuovo realm, inserisci il nome di un realm e seleziona il resolver che hai appena creato.
Potrai vedere gli utenti nella scheda "vista utente".
Seleziona l'utente e seleziona il token. Fare clic sul pulsante "assegna" sul lato sinistro. Il token ora appartiene all'utente, puoi inserire un PIN aggiuntivo come "test".
Dai un'occhiata!
Poiché il token ora appartiene all'utente, l'utente è ora in grado di autenticarsi con questo token.
Reinserire la yubikey.
Useremo l'API web per testare l'autenticazione. Nel tuo browser puoi chiamare:
http://localhost:5001/validate/check?user=bin&pass=test......
che ti darà il seguente risultato:
{
"version": "privacyIDEA 0.9",
"jsonrpc": "2.0",
"result": {
"status": true,
"value": true
},
"id": 0
}
"value":"true" significa che l'autenticazione è riuscita.
Essendo un fork di LinOTP, al momento privacyIDEA utilizza la stessa API con la stessa risposta di LinOTP. Cioè. puoi usare moduli/plugin di autenticazione che possono essere usati anche per LinOTP.
Se tutto va storto dovresti dare un'occhiata alla scheda di controllo.
Produzione
Per un uso produttivo dovresti usare un database come MySQL o PostgreSQL e il server web Apache o nginx invece del paster. Questo farà parte di un prossimo howto.