Organisaatiokohtaisen autentikaatiojärjestelmän ja kaksivaiheisen todennuksen toteuttaminen RGCE-ympäristöön

Abstract

Opinnäytetyö toteutettiin Jyväskylän ammattikorkeakoulun tiloissa toimivalle kyberturval-lisuuden tutkimus-, kehitys- ja koulutuskeskukselle, JYVSECTEC:lle. JYVSECTEC tarjoaa monipuolista harjoitus- ja koulutustoimintaa RGCE-kehitysympäristössä.

Tavoitteena työlle oli tutkia ja kehittää RGCE-kehitysympäristössä sijaitseviin organisaatio-ympäristöihin organisaatiokohtainen autentikaatiojärjestelmä, jonka avulla pystyttäisiin toteuttamaan kertakirjautuminen ympäristön palveluihin. Lisäksi työssä oli tarkoitus tutkia ja toteuttaa kaksivaiheinen todennus Palo Alto palomuurien GlobalProtect-palveluun.

Työssä tutkittiin yleisiä tapoja toteuttaa keskitetty käyttäjän tunnistus, kertakirjautuminen ja kaksivaiheinen todennus. Taustatietojen pohjalta valittiin käytetyt palvelut ja tekniikat.

Toteutus suoritettiin testiympäristössä, joka mallinsi palveluiltaan RGCE-ympäristöä. Kertakirjautumiskomponentti toteutettiin käyttäen avoimeen lähdekoodiin pohjautuvaa LemonLDAP WebSSO –palvelua, joka asennettiin CentOS 7 –palvelimelle. Kertakirjautuminen toteutettiin pääosin käyttäen HTTP-todennusta ja Kerberos-protokollaa. Kaksivaiheinen todennus toteutettiin käyttäen sekä avoimen lähdekoodin tuotetta että maksullisen palvelun testiversiota. Avoimen lähdekoodin palveluna toimi FreeIPA ja maksullisen palvelun tarjosi Duo Security.

Lopputuloksena saatiin valmis komponentti käytettäväksi RGCE-ympäristöön ja kertakirjautuminen saatiin toteutettua valittuihin palveluihin. Kaksivaiheinen todennus Palo Alton GlobalProtect-palveluun saatiin toteutettua ja todennettua.

The bachelor’s thesis was assigned by JYVSECTEC, which operates on the premises of Jyväskylä University of Applied Sciences. JYVSECTEC is a cyber security center focusing on research, development and training and offers diverse possibilities for hands on practice in its RGCE development environment.

The purpose of the thesis was to research and implement a centralized authentication system and single sign-on for the services offered in the RGCE environment. In addition, two-factor authentication was to be researched and implemented to Palo Alto firewall’s GlobalProtect-service. Common techniques and services for centralized authentication, single sign-on and two-factor authentication were researched and based on this, the used services and techniques were selected.

The authentication system was implemented to a test environment, which modelled the services used in the actual RGCE organization environments. The authentication component selected was an open source based LemonLDAP WebSSO –service which was installed on a CentOS 7 server. Single sign-on was accomplished using mainly HTTP-authentication and Kerberos. Two-factor authentication was implemented using both open source and commercial services. The open source service used was FreeIPA and the commercial service used was provided by Duo Security.

As a result, a working authentication component was produced and single sign-on was accomplished to all chosen services. Two-factor authentication for Palo Alto GlobalProtect was successfully implemented and verified.