Utiliser un serveur d’authentification « One Time Password » avec OS X Server

Si vous avez déjà approché de près ou de loin une grande entreprise, vous avez certainement entendu parler des générateurs de mots de passe à usage unique (token OTP pour les initiés). Ces petits appareils permettent de générer un code à usage unique qui viendra en remplacement du mot de passe utilisateur pour certains services comme l’accès distant.

L’article que je vous propose ici est une première approche de la problématique OTP
sur OS X. Il existe plusieurs solutions sur le marché, Apple recommande les Secure ID de RSA Security, bien que ce soit la solution environ documentée par Apple, c’est une solution onéreuse et qui a la mauvaise idée de ne pouvoir être hébergée que sur un serveur Windows… Pour cet article je vous propose donc la solution OTP de Feitian.

Feitian est un éditeur d’outil de sécurité distribué en France par la société Gooze. C’est chez eux que vous devrez vous fournir en matériel et logiciel pour cette opération.

Sachez que le serveur OTP de Feitian est gratuit jusqu’à 20 utilisateurs, vous pouvez le télécharger ici en vous authentifiant avec votre compte Gooze, c’est eux qui vous fournirons les fichiers de licence nécessaire avec chaque token acheté.

Installation du serveur Debian

La première chose à faire est d’installer un serveur Linux pour héberger le serveur OTP. Je vous proposerai donc de le faire sur la distribution Debian que nous allons installer ensemble. Commencez donc par télécharger l’installateur de Debian ici (je vous propose la NetInstall, le CD sera plus léger à télécharger et lors de l’installation vous vous connecterez à Internet pour récupérer les packages nécessaires).

L’installation de Debian est assez simple. Pour ma part je la ferais dans une machine virtuelle, mais il va de sois que c’est exactement la même chose sur un serveur physique. Le processus est assez simple, si vous connaissez Linux je vous laisse faire les choix que vous voulez pour l’installation, sinon pour les autres voici les étapes principales pour avoir une configuration fonctionnelle. Pour les étapes que je ne détaille pas, il vous suffit de lire ce que l’outil d’installation vous demande, bien que plus moche, ce n’est pas plus compliqué qu’installer OS X.

Lorsqu’il vous sera demandé de choisir la liste des logiciels, cochez au minimum ce que j’ai moi-même pris. Si vous souhaitez installer une interface graphique sur votre serveur, allez-y, pour ma part je préfère faire sans.

Une fois l’installation terminée, votre serveur vous présente son écran d’identification, il ne vous reste plus qu’à vous authentifier avec votre compte administrateur (root).

Cet article ne portera pas sur la sécurisation même du serveur Debian, je vous recommande de faire différentes recherches sur Internet pour comprendre le fonctionnement de la commande sudo et voir comment désactiver l’utilisateur root pour l’identification.

Si tout s’est déroulé correctement votre serveur a trouvé sa carte réseau et a obtenue une adresse IP de vote serveur DHCP. Pour tout problème relatif à la configuration réseau de votre machine, je vous renvoie à la documentation Debian.

Pour trouver quelle IP utilise votre serveur actuellement, il vous suffit d’entrer la commande ifconfig :

yoanngini@macpro ~ % scp ~/Downloads/FOASv3.0.1_Server_Debian_6.zip root@192.168.42.156:~/

Ici je vois donc que mon serveur dispose de l’IP 192.168.42.156. Sachez que, si vous avez coché l’option adéquate durant l’installation, votre serveur dispose déjà d’un serveur SSH, il vous suffit d’ouvrir un Terminal sur votre Mac et entrer la commande ssh root@192.168.42.156 pour travailler sur votre serveur depuis votre Mac. Cela peut s’avérer plus pratique pour faire des copier-coller par exemple.

4 réflexions au sujet de « Utiliser un serveur d’authentification « One Time Password » avec OS X Server »

  1. Bonsoir Yoann

    Tout d’abords merci pour ce tuto que j’ai réaliser sans trop de problème jusqu’à l’avant dernière étape
    Dison que je debute au niveau admin serveur
    Mon problème est simple, mon serveur est sous Lion et donc niveau option du VPN, c’est un peut light
    Je n’ai pas trouver comment configurer l’authentification du VPN pour qu’il interroge le serveur OTP
    Meme avec « Admin Tool VPN » on a pas accès a cette configuration

    Il existe sans doute quelque chose en ligne de commande ?

    Peut tu m’apporter quelques éclaircissement sur ce point

    Je te remercie

    Bonne soirée

    Cyril

  2. Bonjour Cyril,

    Je suis justement en train de travailler à une v2 de mon outil d’administration du VPN pour exposer la configuration Radius et bien d’autre chose justement.

    La mise en place en ligne de commande n’est pas spécialement pratique…

    Vous avez le temps d’attendre une semaine ou deux mon nouvel outil ou je vous envois les info pour la ligne de commande ?

    Yoann

  3. Bonsoir Yoann

    Je revient âpres la mise a jour de « admin tool VPN », j’ai configuré comme indiqué dans le tuto,
    Authenticator Plugin : sur Radius
    Authenticator Protocol sur MS-CHAPv2
    Les adresses et le secret entré dans radius server
    Et le problème est que sa ne marche pas, l’authentification ne semble pas passer par le serveur OTP

    Pire même, j’arrive toujours a m’identifier avec les paramètres d’utilisateur classique

    Une idée de test a effectuer, je vient de passer 2 bonne heures dessus et je n’ai rien réussit a faire de plus

    Bonne soirée, nuit, journée

    Cyril

Laisser un commentaire