Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Autentificación 2FA con FreeRadius

    Scheduled Pinned Locked Moved
    Español
    1
    1
    295
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      zoltar
      last edited by

      Buenos días,
      Estoy intentando habilitar la autenticación de doble factor con el servidor Radius para la interface de administración siguiendo el articulo que he encontrado en: [https://www.comparitech.com/blog/vpn-privacy/pfsense-two-factor-authentication/#Installing_FreeRADIUS](link url)
      El caso es utilizo un gestor de contraseñas y aunque no tengo habilitado el auto-rrelenado, por error he seleccionado usuario y contraseña en lugar de introducir el OTP+PIN, y me he dado cuenta que me ha dejado entrar igualmente con el usuario de la base local.
      Teniendo en cuenta que en el articulo se indica que se utilize como contraseña para el usuario local el PIN que se ha configurado en el usuario de Radius (de 4 a 6 dígitos), que no es mi caso ya que el usuario por suerte lo había creado con anterioridad a levantar el FreeRADIUS, me parece un problema de seguridad si al final puede realizar un failback a la base de datos local.
      También teniendo en cuenta que había deshabilitado el usuario admin he respirado tranquilo porque si se hubiera caído el servidor Radius me hubiera quedado sin acceso.
      Me podríais indicar si este es el comportamiento esperado? Entiendo que sí, al no estar integrado en el sistema, y que no existe otra solución, pero me parece fuerte que en un tutorial se recomiende dejar un password de 4 o 6 dígitos. Más que securizar el sistema estas creando un agujero desde mi punto de vista, más vale dejar el password que ya tenía configurado de unos cuantos caracteres.
      Aunque exista la posibilidad de deshabilitar el failback a la bd local tampoco lo veo una buena solución.
      Es mi primera instalación seria baremetal de pfSense CE (me han fastidiado la versión + que utilizaba para casa) y voy a probar el EAP-TLS de todas maneras, pero si este es el funcionamiento para la validación local y no existe otra opción casi que la descarto, tengo que mantener igualmente el password y dos usuarios.
      Muchas gracias de antemano a todos.

      1 Reply Last reply Reply Quote 0
      • First post
        Last post