Dokumentu oso hau, WiKID-en instalazioa eta konfigurazioa ikusiko dugu, software token batekin bi faktoreko autentikazioa egiteko, hardware tradizionalak baino (SoftToken) Web Interface-a kontrakoa 5.3 Citrix-ena. Para ello, Lehenik WiKID instalatu eta konfiguratu egingo dugu, LDAP konexio baten bidez gure Aktibo Zuzendaritzaarekin konektatuko da eta tokenak Web Interface-an autentikatuko ditu RADIUS bidez, Tokena gure domeinuko erabiltzaile baten aurka esleituko/konfiguratu eta Citrix saio bat irekiko dugu. Esan behar da WiKID produktua ordaindua dela, baina prezio oso baxua duela, Jakina, dokumentu hau erabil dezakegu token bidez bestelako zerbitzuak konfiguratzeko.

WiKID-en instalazioa eta konfigurazioa,

Joan gara web ofiziala, erregistratu gara eta WiKID Enterprise Server deskargatzen dugu, appliance birtual batean VMware-n jaitsi ahal izango dugu, edo ISO batean garbiketa instalazio bat egiteko edo zuzenean Linux-eko instalazio batean instalatu ahal izango dugu rpms bidez.

Kasuan honetan instalazio berri bat egingo dut, makina oso potentea izan behar du (1 CPU, 512Mb RAM, 2Gb HD, 1 NIC…), instalazio CDa sartzen dugu eta makina abiarazten dugu, instalazio berri bat egiteko 'install' idazten dugu.

CentOS banaketa bat instalatuko digu 5.1, disko gogorreko edukia ezabatuko digula esango digu, berretsi “Yes”,

eta instalazio prozesua normaltasunez jarraitzen dugu…

Ordu-zona ezartzen dugu…

Onena, root gisa identifikatu eta gero, exekutatu beharko dugu “wikidctl setup”, sarearen konfigurazioa egiteko.

“eta” sarearen konfigurazioa egiteko,

“eta” sareko parametroak konfiguratzen hasteko,

Ekipoaren izena sartzen dugu, eth0 sareko IP helbidea (edo dugun beste bat), sareko maskara, ataria, DNS zerbitzariak… egokia dela baieztatzen dugu “eta”,

Ekipoaren ziurtagiriaren galdera hauek osatzen ditugu, errepikapenik ez dugu konfiguratu…

Ondo, garrantzitsua, WiKID zerbitzuak abiarazteko, idatzi beharko dugu “wikidctl start”,

Orain, sareko edozein ekipoetatik autentikazio zerbitzaria kudeatu ahal izango dugu, aurretik gure DNS zerbitzarian sarrera bat emango dugu “A” WiKID izena bere IP-ren aurka 🙂

Sartzeko, erabiltzailea lehenetsia da: WiKIDAdmin eta pasahitza: 2Faktorea, sustatu “Log In”,

Fitxara joango gara “Konfigurazioa” > “Sortu CA Artekoa” host honetan CA arteko bat sortzeko, jarraitzeko eskakizuna.

CSR bat sortzeko behar dugun informazioa osatu dugu zerbitzari honetarako, sustatu “Sortu”,

Ziurtagiriari Passphrase bat adierazi behar diogu, gako bikoteari segurtasuna emateko izango dena, gako hau izango da WiKID zerbitzuak/demonioak martxan jartzeko beharrezkoa! beraz oso garrantzitsua da.

CSR-a badugu, kopiatu egiten dugu. Goiko estekan klik egiten dugu (http://ca.wikidsystems.com/wikid/newcertreq.jsp)

CSR-a itsatsi egiten dugu & “Prozesatzeko Bidali”,

Sortutako ziurtagiria kopiatu egiten dugu… etik —–BEGIN CERTIFICATE-tik END CERTIFICATE-ra—–

Berriki sortutako ziurtagiria itsatsi, Passphrase sartu eta sakatu “Install Intermediate Certificate”.

Ados, perfecto, orain bertako ziurtagiri bat sortu behar dugu, sustatu “Next: Sortu bertako zerbitzari ziurtagiri bat”.

WiKID-ekin konexio baimendunak eta seguruak ahalbidetzeko bertako zerbitzari ziurtagiri bat sortuko dugu. Datuak berriro sartzen ditugu, Ziurtagiri honetarako gako berri bat beharko dugu eta aurretik sortutako tarteko CAren Passphrase-a sartu beharko dugu. “Sortu”!

Perfecta, WiKID demonioak berrabiarazi behar ditugu.

Shell bat ireki eta exekutatzen dugu “wikidctl restart”, Passphrase-a eskatuko digu…

Web interfazean itzuli konfiguratzeko, vamos a “Dominioak” > “Domeinu Berria Sortu”, erabiltzaileak autentikatzeko domeinua gehitzeko.

Domeinuaren izena sartzen dugu, Nola nahi dugun aukerak menuan agertu, gainerakoak lehenetsita utzi. ‘Server Code’ sartu beharko dugu’ zein izango da domeinuaren IP publikoa formatuaren artean 12 karaktereak betetzean ‘0’ (adibidez 85.85.178.158: 085085178158). Sakatu on “Egin”,

Perfecta.

Orain protokoloak konfiguratu ditugu, vamos a “Konfigurazioa” > “Egin Protokolo Moduluek”,

Sakatu on “Radius” hori konfiguratzeko eta aktibatzeko,

Printzipioz, ekartzen duen konfigurazioa zuzena da, beraz “Inicializatu”.

Ados,

Beraz zerbitzuak berrabiarazten ditugu, beste behin shell batetik ‘wikidctl restart’.

Orain LDAP konexioa konfiguratzen dugu, “Konfigurazioa” > “LDAP”,

Sartutako gakoa LDAP_wauth_pass da, sareko bezperako eta LDAP_wauth_server domeinuaren 12 digituezko kodea. “Egin LDAP”,

Ondo.

Zerbitzuak berriro berrabiarazten ditugu azken konfigurazioa kargatzeko, ‘wikidctl restart’.

Ondo, orain azkenean bezero bat altxatuko dugu, WiKID erabiliz erabiltzaileak balioztatzeko segurtasunez tokenekin. Joango gara “Sareko Bezeroak” > “Sareko bezero berri bat sortu”.

Lortzen dugu, gurekin lotzen gaitu, izen esanguratsua, nire kasuan, Web Interface bat balioztatzeko izango da, bere IP helbidea adierazten dugu, Radius protokoloa eta gure domeina adierazten dugu, sustatu “Gehitu”,

‘Shared Secret’ sortzen dugu’ konexioa Radius Web Interfacean konfiguratzerakoan kontuan izan beharko dugun. “NC Gehitu”,

Ados,

Ondo, orain hainbat gauza aldatuko ditugu, gure erabiltzaileek URL baten bidez beren buruari gehitu ahal izateko eta Token bidez balioztapena eskatu ahal izateko..

Editamos en el servidor de autenticación con vi el fichero /opt/WiKID/tomcat/webapps/wikid/ADRegister.jsp

Completamos los siguientes parámetros:

directoryDomainSuffix = FQDN dominio
ldapURL = ldap://CONTROLADOR_DOMINIO_FQDN_DOMINIO:389
domainCode = Código 12 digituezko kodea.
wikidClientPass = la clave del certificado anterior.

Perfecta! ya hemos acabado de configurar WiKID!

Configuración de Citrix Web Interface para autenticación mediante Token,

En la consola de administración del Interfaz Web de Citrix, en el sitio web XenApp o en los servicios de XenApp (donde querramos esta autenticación) escogemos “Métodos de autenticación”

Marcamos “Explícita” y vamos a “Propiedades”,

En 'Configuración de dos factores’ indicamos 'RADIUS', onartu.

En el sitio predetermined de la carpeta 'conf’ de nuestro sitio web (lehenetsi bezala C:inetpubwwwrootCitrixXenAppconf) 'radius_secret.txt' izeneko fitxategi bat sortu genuen’ eta RADIUS-en aurretik konfiguratu dugun sekretua Shared Secret gisa sartu genuen.

Gure webgunearen lehenetsitako gunean egiaztatzen dugu (lehenetsi bezala C:inetpubwwwrootCitrixXenApp) 'web.config' fitxategian’ sarrera hauek konfiguratuak ditugu:
RADIUS_SECRET_PATH konfiguratu berri dugun fitxategira.
RADIUS_NAS_IDENTIFIER WiKID-ek identifikatzen duen identifikatzaile bakarra, adibidez bere IP edo izena.
RADIUS_NAS_IP_ADDRESS WiKID-en IParekin.

Hau guztia prest dagoenean, orain probatzea besterik ez da geratzen!

WiKID Token Instalazioa,

Hau SoftToken edo Token software bidezko instalazioa izango da (ohiko hardware bidezkoaren ordez) wikidtoken izena duena, hori jaisteko joaten gara web ofiziala WiKID-etik.

Instalazioa sinplea da, escogemos un idioma & “OK”,

“Next”,

“Next”,

“I accept the terms of this license agreement” & “Next”,

Path de instalación por defecto ‘%ProgramFileswikidtoken’ & “Next”,

“Next” instalazioa hasteko,

… esperamos unos segundos…

“Next”,

Si queremos iconos de acceso directo… “Next”,

Y por fín “Egina”!

Con esto tendremos el software del Token instalado, nada más.

Lo abrimos por primera vez,

Nos pedirá una contraseña por seguridad para abrirlo posteriormente “Continuar”,

“Acciones” > “Crear Nuevo Dominio” para dar de alta nuestro dominio!

Introducimos los 12 dígitos del dominio nuestro & “Continuar”,

Metemos un código PIN para este dominio, “Continuar”,

Y nos dará un código.

Tenemos que introducir este código en WiKID con una cuenta del directorio activo, para ello lo que tenemis que hacer es abrir un navegador e ir a “https://SERVIDOR_WiKID/wikid/ADRegister.jsp”, introducimos los credenciales de nuestro usuario para validarlo contra LDAP y asignarle ese código. Sakatu on “Authenticate”,

Introducimos el código del registro del Token & “Register”,

perfecto! Guillermo Puertas ya podrá autenticarse mediante Token pq ya está registrado, claro que nosotros como administradores también podremos agregar manualmente las cuentas de usuario en WiKID.

Uso de Token con Citrix Web Interface,

Y ya finalmente no queda más que probarlo!

El proceso habitual será que el usuario abra “WiKID Token Client”,

Meta la contraseña que haya puesto para abrir el wikidtoken & “Continuar”,

Elegimos el dominio que querramos & “Obtener Contraseña”,

Metemos el PIN que hemos asociado al dominio & “Continuar”,

Eta honek emango digu kodea Web Interfazean sartu nahi dugunean sartu beharko duguna!

Beraz, esan dudana, egongo gara 60 kode hori balidatzeko segundo batzuk, Citrix webgunean goaz, gure erabiltzailea sartzen dugu, pasahitza, (domenioa), eta PASSCODE-a, sustatu “Saioa hasi” eta hor dago.