Bonjour les amis,
une question rapide là on est en train de brainstormer sur une architectur OTP (one time password avec support sur pour mobiles).
- ma question est est ce que vous avez déjà installé une telle architecture au sein de vos organismes/sociétés?
- que serait selon vous la meilleure approche à faire? que seraient vos recommandations/remarques? points positifs/négatifs d'une telle architecture?
- moi je pensais a utiliser freeradius pour l'authentification mais je bloque sur les solutions qui seront installé sur les mobiles pour afficher le token, est ce que ça vous parait bon comme architecture ou est ce que je fonce droits au mur?
Tarik CHICHANE
Bonjour Tarik,
Je ne suis pas un habitué des posts, mais là je viens de terminer la mise en place d'une auth VPN par token OTP et j'ai encore des idées assez claires sur le sujet.
Je suis parti sur un LinOTP pour la gestion/création des tokens, et l'application "Free OTP" sur iPhone ou Android. (l'import du token sur le smartphone se fait par code barre scanné par l'application)
Ma passerelle VPN fais l'authentification de mes users sur un FreeRadius qui lui même d'appui sur le LinOTP.
L'utilisateur se connecte au VPN en tapant son login, et un PIN code suivi du code Token généré sur son smartphone.
Pour le moment, ca fonctionne, pas de soucis et pas très compliqué à mettre en place.
Olivier Martinet.
Le 31/08/2016 à 12:46, tarik chichane a écrit :
Bonjour les amis,
une question rapide là on est en train de brainstormer sur une architectur OTP (one time password avec support sur pour mobiles).
- ma question est est ce que vous avez déjà installé une telle
architecture au sein de vos organismes/sociétés?
- que serait selon vous la meilleure approche à faire? que seraient
vos recommandations/remarques? points positifs/négatifs d'une telle architecture?
- moi je pensais a utiliser freeradius pour l'authentification mais je
bloque sur les solutions qui seront installé sur les mobiles pour afficher le token, est ce que ça vous parait bon comme architecture ou est ce que je fonce droits au mur?
Tarik CHICHANE
Liste de diffusion du FRsAG http://www.frsag.org/
Le 31/08/2016 à 12:46, tarik chichane a écrit :
Bonjour les amis,
une question rapide là on est en train de brainstormer sur une architectur OTP (one time password avec support sur pour mobiles).
- ma question est est ce que vous avez déjà installé une telle
architecture au sein de vos organismes/sociétés?
- que serait selon vous la meilleure approche à faire? que seraient
vos recommandations/remarques? points positifs/négatifs d'une telle architecture?
- moi je pensais a utiliser freeradius pour l'authentification mais je
bloque sur les solutions qui seront installé sur les mobiles pour afficher le token, est ce que ça vous parait bon comme architecture ou est ce que je fonce droits au mur?
Ici, on utilise freeradius avec d'une part des yubikeys pour quand on a un desktop avec un port USB (donc, en général) et avec du MOTP avec petit appli mobile pour quand il se trouve qu'on est d'astreinte et qu'on est coincé à un endroit peu pratique.
C'est assez facile à mettre en place avec un petit module Perl pour freeradius. Par facile, j'entends que si tu connais une base de Perl, et que tu sais configurer un radius client et serveur, tu vas y arriver.
Le 31/08/2016 à 13:39, Mathieu Arnold a écrit :
Ici, on utilise freeradius avec d'une part des yubikeys pour quand on a un desktop avec un port USB (donc, en général) et avec du MOTP avec petit appli mobile pour quand il se trouve qu'on est d'astreinte et qu'on est coincé à un endroit peu pratique.
C'est assez facile à mettre en place avec un petit module Perl pour freeradius. Par facile, j'entends que si tu connais une base de Perl, et que tu sais configurer un radius client et serveur, tu vas y arriver.
J'ai suivi les Yubikey depuis leurs lancement, je trouve cela pratique, bien fait et génial mais comment vous intégrer les applications web ou desktop diverses à ce système, toute ne permettent pas l'authentification ldap / radius. Du coup je suis pas allé plus loin notamment sur la partie mobile mais ça m'intéresse bien d'avoir des retours sur ce point. Déjà de voir qu'on peut le mettre sur du vpn par un radius ça me motive encore plus.
-
Mathieu Arnold -
Olivier MARTINET - Perso -
tarik chichane -
Wallace