Dalam cara ini kami akan menunjukkan, betapa mudahnya menambahkan otentikasi dua faktor dengan token OTP ke OTRS. Ini dilakukan agar agen dukungan dapat melindungi kasus dukungan dan data pelanggan dari penyerang dan penyalahgunaan. Namun demikian ini dapat dilakukan untuk pelanggan dengan cara yang sama.
Otentikasi tidak akan diverifikasi oleh OTRS lagi, tetapi oleh privacyIDEA. Pengguna masih diambil dari database OTRS. Juga kata sandi statis yang sama digunakan yang digunakan sebelumnya.
Prasyarat
Kami berasumsi bahwa Anda menjalankan instalasi OTRS dan privacyIDEA. Anda mungkin telah mengikuti cara sebelumnya untuk menginstal privacyIDEA.
Pengguna di OTRS
Saat ini kami memiliki beberapa agen di OTRS. Kata sandi mereka kebetulan adalah "ujian". Mereka dapat masuk hanya dengan kata sandi ini.
Tentukan pengguna di privacyIDEA
privacyIDEA selalu menggunakan toko pengguna yang ada. Ini bisa berupa file datar, direktori LDAP, layanan SCIM atau database SQL. Dalam skenario ini kami akan memberi tahu privacyIDEA untuk mencari pengguna di database OTRS.
Buka privacyIDEA config -> UserIdResolvers . Klik Tombol "Baru" untuk membuat UserIdResolver baru. Pilih "SQL".
Di sini Anda dapat memasukkan definisi koneksi ke database OTRS. Untuk menyederhanakan pengaturan, ada tombol "OTRS", yang akan mengatur nilai OTRS default di "tabel database" dan "pemetaan atribut". Dalam kebanyakan kasus, Anda tidak perlu mengubah ini.
Jika OTRS berjalan pada mesin yang sama seperti server privacyIDEA, mungkin akan terlihat seperti ini:
Beberapa resolver dapat digabungkan menjadi satu ranah. Begitu juga resolver baru ini perlu dimasukkan ke dalam ranah. Jika Anda menyimpan dan menutup dialog resolver, privacyIDEA akan secara otomatis membawa Anda ke dialog ranah.
Buat ranah baru "otrs" dan masukkan resolver yang baru saja Anda buat ke ranah ini. Resolver akan disorot dengan warna biru.
Simpan ranah dan sekarang buka tab tampilan pengguna. Anda sekarang akan melihat semua agen dari database OTRS.
Daftarkan token ke pengguna dan uji
Sekarang Anda dapat mendaftarkan atau menetapkan token pilihan Anda kepada pengguna OTRS. Dalam contoh ini saya mendaftarkan Google Authenticator. Pilih pengguna "jbond" dan klik tombol daftar. Kemudian token yang akan didaftarkan akan langsung diberikan kepada pengguna "jbond".
Pilih "berbasis acara HMAC" dan pilih "[x] menghasilkan kunci HMAC". Kemudian QR-Code akan dihasilkan, yang dapat dipindai dengan Aplikasi Google Authenticator.
Setelah mendaftarkan token Anda dapat mengatur PIN OTP untuk token ini, saya memilih "1234".
Di tokenview Anda dapat melihat token, sekarang.
Uji otentikasi
Anda dapat mengarahkan browser Anda ke http://your.pricacyidea.server/auth/index dan mencoba mengautentikasi dengan pengguna ("jbond") dan kata sandi "1234142371", di mana "1234" adalah PIN OTP yang saya atur selama pendaftaran dan "142371" nilai OTP yang ditampilkan oleh Google Authenticator.
Anda dapat melihat otentikasi yang berhasil di log audt.
Tentukan kebijakan otentikasi
Ini hanya berfungsi jika Anda menggunakan skema hashing kata sandi default di OTRS, yang pada saat penulisan tampaknya merupakan sha256 yang tidak tawar. Kata sandi disimpan sebagai string hex 64 karakter
Seperti yang dikatakan di awal, kami ingin pengguna menggunakan kata sandi OTRS mereka dan bukan PIN tambahan "1234". Pengguna biasa tidak dapat mengingat banyak kata sandi yang sulit.
Anda dapat mengatur kebijakan otentikasi untuk mencapai ini. Buka tab "Kebijakan" dan buat kebijakan ini:
Jangan lupa untuk menandai kebijakan sebagai aktif.
Sekali lagi Anda dapat memeriksa otentikasi tetapi kali ini pengguna "jbond" harus memasukkan "test281707". "test" menjadi kata sandi OTRS aslinya.
Menyiapkan OTRS
privacyIDEA hadir dengan modul otentikasi OTRS yang dapat ditemukan di sini.
Salin ini ke direktori OTRS Anda Kernel/System/Auth.
Di Kernel/Config.pm Anda, konfigurasikan yang berikut:
$Self->{'AuthModule'} ='Kernel::System::Auth::privacyIDEA';
$Self->{'AuthModule::privacyIDEA::URL'} ="http://localhost:5001/validasi/pemeriksaan sederhana";
Sesuaikan URL sesuai dengan instalasi privacyIDEA Anda.
Sekarang setiap agen yang masuk, perlu masuk dengan kata sandi OTRS-nya yang digabungkan dengan nilai OTP dari tokennya.
Catatan: juga [dilindungi email] tidak akan dapat masuk tanpa token lagi.
Selamat mengautentikasi dan mengamankan dukungan!
Ada pertanyaan? Jawaban!
Untuk setiap permintaan bergabung dengan grup google, kunjungi github atau halaman proyek.