Konfiguracja źródła sekretów usługi Rublon Authentication Proxy

Od wersji 3.8.0 możesz przechowywać sekrety usługi Rublon Authentication Proxy w zmiennych środowiskowych systemu operacyjnego, ustawiając opcję secret_source na env w sekcji global pliku konfiguracyjnego.

Gdy opcja secret_source jest ustawiona na env, każda wartość sekretu w pliku konfiguracyjnym staje się nazwą zmiennej środowiskowej, a usługa Auth Proxy odczytuje rzeczywistą wartość sekretu z tej zmiennej.

Sekrety usługi Rublon Authentication Proxy to:

Sekcja rublon:
- system_token
- secret_key
Sekcja proxy_servers:
- RADIUS:
  - radius_secret
- LDAP:
  - pkey_password (jeśli używany)
Sekcja auth_sources:
- RADIUS:
  - radius_secret
- LDAP:
  - access_user_password

Jeszcze nie korzystasz z Rublon MFA?

Wypróbuj nasze niezawodne uwierzytelnianie wieloskładnikowe przez 30 dni za darmo i przekonaj się, jakie to proste.

Wypróbuj Nie wymaga karty

Przykład konfiguracji

log:
  debug: false

global:
  secret_source: env

rublon:
  api_server: https://core.rublon.net
  system_token: SYSTEM_TOKEN
  secret_key: SECRET_KEY

proxy_servers:
  - name: RADIUS-Proxy
    type: RADIUS
    radius_secret: RADIUS_SECRET
    ip: 0.0.0.0
    port: 1812
    mode: standard
    auth_source: LDAP_SOURCE_1
    auth_method: email

  - name: LDAP-Proxy
    type: LDAP
    ip: 0.0.0.0
    port: 389
    auth_source: LDAP_SOURCE_1
    auth_method: email

auth_sources:
  - name: LDAP_SOURCE_1
    type: LDAP
    ip: 127.0.2.0
    port: 389
    transport_type: plain
    search_dn: OU=Organization,DC=org,DC=com
    access_user_dn: CN=AccessUser,OU=Organization,DC=org,DC=com
    access_user_password: ACCESS_USER_PW

  - name: RADIUS_SOURCE_1
    type: RADIUS
    ip: 127.0.1.0
    port: 1812
    radius_secret: RADIUS_SECRET

W powyższym przykładzie opcja secret_source została ustawiona na env. Oznacza to, że usługa Rublon Auth Proxy będzie teraz traktować wartości sekretów pliku konfiguracyjnego jako nazwy zmiennych środowiskowych w celu pobrania rzeczywistych sekretów z systemu. W tym przykładzie usługa Auth Proxy oczekuje, że w systemie zostaną zdefiniowane cztery zmienne:

SYSTEM_TOKEN
SECRET_KEY
RADIUS_SECRET (użyty dwukrotnie)
ACCESS_USER_PW

Ustawianie zmiennych środowiskowych (Windows)

Po zainstalowaniu usługi Rublon Authentication Proxy na komputerze z systemem Windows:

1. Otwórz Edytor rejestru.

2. Przejdź do klucza rejestru Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RublonAuthProxy.

3. Dodaj nową wartość wielociągu (REG_MULTI_SZ) o nazwie Environment i dodaj następujące wiersze w danych wartości:

SYSTEM_TOKEN=wartość_tokenu
SECRET_KEY=wartość_klucza_tajnego
RADIUS_SECRET=wartość_klucza_tajnego_radius
ACCESS_USER_PW=hasło_użytkownika_dostępowego

Obrazek pokazujący, jak ustawić wartości sekretów w zmiennych środowiskowych w rejestrze systemu Windows.

4. Uruchom ponownie usługę Rublon Authentication Proxy.

Ustawianie zmiennych środowiskowych (Linux)

Po zainstalowaniu usługi Rublon Authentication Proxy na komputerze z systemem Linux:

1. Wykonaj:

systemctl edit rublon

2. Zmodyfikuj plik usługi, ustawiając zmienne środowiskowe w następujący sposób:

[Service]
Environment="SYSTEM_TOKEN=token_value_here"
Environment="SECRET_KEY=secret_value_here"
Environment="RADIUS_SECRET=radius_secret_here"
Environment="ACCESS_USER_PW=access_user_password_here"

Obrazek pokazujący, jak ustawić wartości sekretów w zmiennych środowiskowych w systemie Linux.

3. Zapisz plik i uruchom ponownie usługę proxy:

systemctl restart rublon

Aktualizacja zmiennych środowiskowych

Każda zmiana zmiennych środowiskowych używanych przez usługę Rublon Authentication Proxy wymaga ponownego uruchomienia usługi Auth Proxy, aby zastosować nowe wartości. Usługa Auth Proxy odczytuje zmienne środowiskowe w momencie startu i nie wykonuje później automatycznych aktualizacji.

Korzyści z ustawiania sekretów w zmiennych środowiskowych

Brak jawnych sekretów w pliku konfiguracyjnym. Plik konfiguracyjny usługi Auth Proxy zawiera nazwy zmiennych środowiskowych, a nie wartości sekretów. Nie musisz niczego usuwać przed udostępnieniem pliku konfiguracyjnego działowi pomocy technicznej Rublon Support.
Prostsza aktualizacja. Aktualizuj zmienne środowiskowe bez ingerencji w plik konfiguracyjny usługi Auth Proxy. Po aktualizacji wystarczy ponownie uruchomić serwer proxy.
Rozdzielenie obowiązków. Jeden administrator może zarządzać wartościami sekretów w zmiennych środowiskowych, a inny administrator może dbać o plik konfiguracyjny usługi Auth Proxy.
Współpracuje ze standardowymi narzędziami. Systemd, usługi Windows, kontenery i CI/CD obsługują wstrzykiwanie zmiennych środowiskowych.

Uwaga dotycząca bezpieczeństwa

Zmienne środowiskowe ograniczają ryzyko przypadkowego ujawnienia informacji podczas współdzielenia pliku, ale nie są one rozwiązaniem idealnym. Dokument OWASP Secrets Management Cheat Sheet zaleca stosowanie odpowiedniego magazynu sekretów i ostrzega, że zmienne środowiskowe mogą zostać ujawnione poprzez inspekcję uruchomionych procesów, logi czy zrzuty pamięci; należy traktować je jako dane poufne i ograniczać ich ujawnianie.

Praktyczne wskazówki

Używaj skarbca sekretów jako „główne źródło prawdy”.
Nie loguj zmiennych środowiskowych.
Ogranicz uprawnienia systemu operacyjnego/usługi.

Podsumowanie

Przełączenie opcji secret_source na env powoduje, że poufne wartości nie są zapisywane w pliku konfiguracyjnym usługi Auth Proxy, tylko ładowane z systemu operacyjnego. Zdefiniuj wymagane zmienne środowiskowe, zaktualizuj konfigurację proxy, aby odwoływała się do ich nazw, a następnie uruchom ponownie usługę proxy, aby zastosować zmiany. Takie podejście zapewnia bardziej przejrzystą konfigurację i zmniejsza ryzyko przypadkowego ujawnienia poufnych informacji w plikach.