Uno dei prodotti che utilizziamo di più in Tundra per offrire un'autenticazione più robusta negli ambienti dei nostri clienti è l'uso di PINsafe, della compagnia Swivel Secure. In questo documento vedremo il deployment dell'appliance virtuale dove PINsafe è già installato, se vogliamo, potremo scaricare i binari di Java e installarli su Windows o Linux, purché ci sia Tomcat.

Para el que no conozca esta herramienta, PINsafe obligará a una doppia autenticazione a nuestros utenti a la hora de conectarse a nostra organizzazione. Se puede implementare en qualsiasi applicazione che utilicemos basado en web, además de que existen infinidad de integraciones posibles (ver su wiki – con todas ellas documentadas). Basicamente consiste en que los usuarios tienen su contraseña del Directorio Activo más el PIN que ellos quieran, a la hora de loguearse en nuestra organización tendrán que meter su usuario, su contraseña y el OTC (que será el codice generado aleatoriamente dependiendo de su PIN y de la cadena de seguridad que se genere).

Bene, lo primero es tener el appliance y descargarlo, lo importamos en nuestra infraestructura virtual, este virtual appliance podrá tener el disco duro en modo Thin.

Nos logueamos en consola como ‘admin’ con la contraseña predeterminada ‘lockbox’,

Nada más entrar estaremos en el menú principal, lo primer será configurarle el nombre al appliance, nos vamos al menú 6 ‘Advanced Menu’ > 3 ‘Networking’ > 1 ‘Hostnames’ > 1 ‘Change Single Hostnames’.

Quanto segue, será configurar el direccionamiento IP del appliance, dal menu 6 ‘Advanced Menu’ > 3 ‘Networking’ > 2 ‘IPs & Instradamento’ > 2 ‘Change Appliance IPs’, indichiamo l'indirizzo IP, Maschera di rete, Gateway & reiniciamos la red.

Cambiamos los DNS’s desde el menú: 6 ‘Advanced Menu’ > 3 ‘Networking’ > 4 ‘DNS Servers’ > 1 ‘Change Primary DNS Servers’.

Cambiamos el nombre del dominio local para las búsquedas desde 6 ‘Advanced Menu’ > 3 ‘Networking’ > 4 ‘DNS Servers’ > 3 ‘Change Search Domain’.

Cambiamos el servidor de hora, el NTP desde 6 ‘Advanced Menu’ > 3 ‘Networking’ > 6 ‘NTP Server’ > 1 ‘Change NTP Time Server’ y lo especificamos.

Y por último cambiamos la contraseña al usuario ‘admin’, Per fare ciò, lo faremo: 6 ‘Advanced Menu’ > 5 ‘Admin menu’ > 4 ‘Change admin password’.

Oh, bene, una cosa fundamental, será ponerle el certificado que vaya a tener nuestro sitio público. Per fare ciò,, lo más normal es que generemos desde el appliance el CSR, lo enviemos a la CA y lo importemos posteriormente. En el caso de tener ya el certificado (con la clave privada) instalado en alguno de nuestros servidores y querramos traspasarlo a este appliance, haremos los siguientes pasos!!!

Primero lo exportaremos en el servidor d0nde lo tengamos CON la clave privada (con contraseña ‘lockbox’), luego instalaremos KeyStore Explorer en algún equipo. E clicchiamo su “Open an existing KeyStore”, abrimos nuestro .pfx.

Selezioniamo il certificato e andiamo a “Utensileria” > “Tipo di modifica” > “JKS”,

Tasto destro sul certificato e cambiamo la coppia di chiavi da “Imposta Password”,

Indichiamo la chiave 'lockbox'.

Dopo, poiché “Utensileria” > “Imposta Password” cambieremo quella del keystore,

Impostiamo di nuovo la password a 'lockbox'.

Non male, salviamo il KeyStore con il nome '.keystore'’ dove vogliamo.

E lo copiamo con qualsiasi applicazione (per esempio WinSCP) all'appliance, alla directory '/root/swivel/'’

E basterà riavviare Tomcat perché prenda il nuovo certificato!! Da qui potremo iniziare a configurare in base alle nostre esigenze!