Uwierzytelnianie wieloskładnikowe (2FA/MFA) dla SOGo

Scalable OpenGroupware.org (SOGo) to open source’owa poczta internetowa dla firm i społeczności, która umożliwia udostępnianie kalendarzy, książek adresowych i poczty w organizacji. SOGo oferuje dynamiczny, oparty na AJAX interfejs internetowy i zapewnia szeroką kompatybilność z natywnymi klientami, wykorzystując powszechnie stosowane protokoły, takie jak CalDAV, CardDAV i GroupDAV, a także obsługę Microsoft ActiveSync.

Uwierzytelnianie wieloskładnikowe (MFA) dla usługi SOGo zapewnia dodatkową warstwę bezpieczeństwa podczas logowania do SOGo. Użytkownicy muszą przejść zarówno uwierzytelnianie podstawowe (login/hasło), jak i dodatkowe (np. Powiadomienie mobilne). Nawet jeśli cyberprzestępca zna hasło użytkownika, nie uzyska dostępu bez ukończenia drugiego kroku.

Omówienie uwierzytelniania MFA dla usługi SOGo

W tej dokumentacji opisano, jak zintegrować Rublon MFA z usługą SOGo przy użyciu protokołu LDAP(S), aby włączyć uwierzytelnianie wieloskładnikowe dla logowań użytkowników.

Rublon MFA dla SOGo integruje się za pośrednictwem usługi Rublon Authentication Proxy, obsługującej protokół LDAP(S). Dzięki temu tylko autoryzowani użytkownicy mogą wykonać dodatkową metodę uwierzytelniania, uniemożliwiając dostęp potencjalnym intruzom.

Wspierane metody uwierzytelniania

Metoda uwierzytelniania	Czy wspierana	Komentarz
Powiadomienie mobilne	✔	N/A
Klucz bezpieczeństwa WebAuthn/U2F	–	N/A
Kod dostępu	✔	N/A
Kod SMS	–	N/A
Link SMS	✔	N/A
Połączenie telefoniczne	✔	N/A
Kod QR	–	N/A
Link e-mail	✔	N/A
Klucz bezpieczeństwa YubiKey OTP	✔	N/A

Zanim zaczniesz konfigurować uwierzytelnianie MFA dla usługi SOGo

Przed skonfigurowaniem uwierzytelniania Rublon MFA dla SOGo:

• Upewnij się, że wszystkie wymagane komponenty są gotowe.
• Utwórz aplikację w konsoli Rublon Admin Console.
• Zainstaluj aplikację mobilną Rublon Authenticator.

Wymagane komponenty

1. Dostawca tożsamości (IdP) — potrzebujesz zewnętrznego dostawcy tożsamości, takiego jak Microsoft Active Directory, OpenLDAP czy FreeIPA.

2. Rublon Authentication Proxy – zainstaluj usługę Rublon Authentication Proxy, jeśli jeszcze nie jest zainstalowana oraz skonfiguruj usługę Rublon Authentication Proxy jako serwer proxy LDAP.

3. SOGo – Poprawnie zainstalowany i skonfigurowany serwer SOGo.

Utwórz aplikację w konsoli Rublon Admin Console

1. Zarejestruj się w konsoli Rublon Admin Console. Oto jak to zrobić.

2. W konsoli Rublon Admin Console przejdź do zakładki Applications (Aplikacje) i kliknij Add Application (Dodaj aplikację).

3. Wprowadź nazwę swojej aplikacji (np. SOGo), a następnie ustaw jej typ na Rublon Authentication Proxy.

4. Kliknij przycisk Save (Zapisz), aby dodać nową aplikację w konsoli Rublon Admin Console.

5. Skopiuj i zapisz wartości System Token i Secret Key. Te wartości będą Ci potrzebne później.

Zainstaluj aplikację Rublon Authenticator

Niektórzy użytkownicy końcowi prawdopodobnie skorzystają z aplikacji mobilnej Rublon Authenticator. Dlatego też, jako osoba konfigurująca uwierzytelnianie MFA dla usługi SOGo, zdecydowanie zalecamy Ci zainstalowanie aplikacji mobilnej Rublon Authenticator. Dzięki temu możliwe będzie przetestowanie uwierzytelniania MFA dla usługi SOGo za pomocą metody uwierzytelniania Powiadomienie mobilne.

Pobierz aplikację Rublon Authenticator dla systemu:

• Android
• iOS
• HarmonyOS

Konfiguracja uwierzytelniania wieloskładnikowego (MFA) dla usługi SOGo

Rublon Authentication Proxy

1. Edytuj plik konfiguracyjny usługi Rublon Auth Proxy i wklej wcześniej skopiowane wartości System Token i Secret Key odpowiednio w opcjach system_token i secret_key.

2. Przykładowa konfiguracja w pliku YAML:

log:
  debug: true

rublon:
  api_server: https://core.rublon.net
  system_token: YOURSYSTEMTOKEN
  secret_key: YOURSECRETKEY

proxy_servers:
- name: LDAP-Proxy
  type: LDAP
  ip: 0.0.0.0
  port: 636
  auth_source: LDAP_SOURCE_1
  auth_method: push, email
  rublon_section: rublon
  cert_path: /etc/ssl/certs/ca.crt
  pkey_path: /etc/ssl/certs/key.pem

auth_sources:
- name: LDAP_SOURCE_1
  type: LDAP
  ip: 192.0.2.0
  port: 636
  transport_type: ssl
  search_dn: dc=example,dc=org
  access_user_dn: cn=admin,dc=example,dc=org
  access_user_password: CHANGE_ME
  ca_certs_dir_path: /etc/ssl/certs/

Zobacz: Jak skonfigurować certyfikaty LDAPS w Rublon Authentication Proxy?

SOGo

Otwórz plik sogo.conf i dodaj blok „SOGoUserSources =” z danymi LDAP. Zapoznaj się z poniższym blokiem i tabelą.

SOGoUserSources = (
  {
    type = ldap;
    CNFieldName = cn;
    UIDFieldName = sAMAccountName;
    bindFields = (sAMAccountName, userPrincipalName);
    baseDN = "ou=Users,dc=my,dc=organization,dc=domain";
    bindDN = "CN=rublonadmin,OU=Rublon,DC=rublondemo,DC=local";
    bindPassword = "eHJFKF5jC5QqM6ci";
    canAuthenticate = YES;
    hostname = "ldaps://192.0.2.0:636";
    filter = "objectClass='user'";
    id = directory;
  }
);

type	Ustaw na ldap, aby zdefiniować protokół LDAP jako źródło danych użytkownika.
CNFieldName	Ustaw na cn, aby zdefiniować atrybut Common Name jako pole zawierające pełną nazwę użytkownika.
UIDFieldName	Ustaw na sAMAccountName, aby zdefiniować ten atrybut jako pole unikalnego identyfikatora (logowania) użytkownika.
bindFields	Ustaw na (sAMAccountName, userPrincipalName), aby umożliwić użytkownikom logowanie się przy użyciu zarówno atrybutu sAMAccountName, jak i atrybutu userPrincipalName.
baseDN	Wprowadź wartość Base DN, od której usługa SOGo ma rozpocząć wyszukiwanie użytkowników (np. “ou=Users,dc=my,dc=organization,dc=domain”). Musi to odpowiadać temu, co „widzi” konto bind.
bindDN	Bind DN (pełna ścieżka LDAP konta serwisowego, np. “CN=rublonadmin,OU=Rublon,DC=rublondemo,DC=local”), które usługa SOGo wykorzysta do uwierzytelnienia oraz uzyskania dostępu do katalogu LDAP w celu wyszukiwania informacji o użytkownikach. To konto musi mieć co najmniej uprawnienia do odczytu atrybutów innych użytkowników. Uwaga: Wartość Bind DN musi być taka sama jak wartość access_user_dn w pliku konfiguracyjnym usługi Rublon Auth Proxy.
bindPassword	Hasło użytkownika zdefiniowanego w bindDN. Uwaga: Wartość Bind password musi być taka sama jak wartość access_user_password w pliku konfiguracyjnym usługi Rublon Auth Proxy.
canAuthenticate	Ustaw na YES, aby potwierdzić, że to źródło danych może być używane do uwierzytelniania (logowania) użytkowników.
hostname	Wprowadź adres IP i port serwera proxy uwierzytelniania Rublon, poprzedzone prefiksem ldap:// dla LDAP lub ldaps:// dla LDAPS. Przykład LDAPS: “ldaps://192.0.2.0:636” Przykład LDAP: “ldap://192.0.2.0:389”
filter	Ustaw na “objectClass=’user’”, aby ograniczyć wyszukiwania LDAP wyłącznie do obiektów mających klasę user.
id	Ustaw na directory, aby nadać unikalny identyfikator „katalogu” dla tej konfiguracji źródłowej użytkownika.

Więcej informacji można znaleźć w oficjalnej dokumentacji SOGo dotyczącej uwierzytelniania LDAP.

Testowanie uwierzytelniania wieloskładnikowego (MFA) dla usługi SOGo

Ten przykład przedstawia logowanie wieloskładnikowe do usługi SOGo. Metoda uwierzytelniania Powiadomienie mobilne została ustawiona jako drugi czynnik w konfiguracji usługi Rublon Authentication Proxy (Parametr AUTH_METHOD został ustawiony na Push).

1. Otwórz panel SOGo, wprowadź nazwę użytkownika oraz hasło i wciśnij Enter.

2. Otrzymasz żądanie uwierzytelniania za pomocą metody Powiadomienie mobilne na swój telefon. Wybierz ZATWIERDŹ.

3. Otrzymasz dostęp do usługi SOGo.

Rozwiązywanie problemów z uwierzytelnianiem MFA dla usługi SOGo

Jeśli napotkasz jakiekolwiek problemy z integracją Rublon, skontaktuj się z pomocą techniczną Rublon Support.

Powiązane posty

Rublon Authentication Proxy

Rublon Authentication Proxy – Integracje