Juniper SSL-VPN Appliance’ı SMS Tabanlı OTP İle Güçlendirdik
09 Kasım 2008Pro-G’de bir iş fırsatı karşımıza çıktı. Konu, Juniper SSL-VPN Appliance’ı iki aşamalı kullanıcı doğrulama yeteneğini geliştirdiğimiz özel bir yazılımla cep telefonuna SMS ile gelecek olan OTP (One Time Password / Tek Kullanımlık Şifre) ile güçlendirmek. Java ile geliştirdiğimiz özel uygulama sayesinde Juniper SSL-VPN kutusu kullanan kurumlar artık SMS tabanlı OTP ile SSL-VPN bağlantısını gerçekleştirebilecekler.
İşin teknik ayrıntılarına inecek olursak ilk aşama oturum açma kısmı tamamen kurumun LDAP / Active Directory sunucusuna ait. İkinci aşamada geliştirdiğimiz yazılım devreye giriyor.
İlk aşama başarılı oturum açma bilgisi alınır alınmaz bir OTP üretiliyor ve SMS ile ilk aşama oturumu açmış olan kullanıcının cep telefonuna gönderiliyor. Kullanıcı ikinci aşamada şifre olarak SMS ile gelen OTP’yi kullanıyor. Yazılımın içinde gömülü olarak çalışan radius sunucusu Juniper SSL-VPN kutusuna ikinci aşama oturum hizmeti veriyor.
Geliştirdiğimiz bu yazılımda radius server işleri için TinyRadius projesini kullandık. SMS gönderimi için ise kurumun sağladığı Web Servislerini AXIS2 projesinin kütüphaneleri yardımıyla kullandık. LDAP sorgulama hizmetleri için JNDI (Java Naming and Directory Interface) kullandık.
Etiketler: active directory, axis2, java, JNDI, juniper networks, LDAP, one time password, OTP, pro-g, SMS, ssl-vpn, tek kullanımlık şifre
“Juniper SSL-VPN Appliance’ı SMS Tabanlı OTP İle Güçlendirdik” için 14 Yorum
anonymous diyor ki:
16 Aralık 2008 tarihinde.
başarılı bir çalışma olmuş, tebrikler.
Bilgi amaçlı; Checkpoint ürününde bu özellik direk olarak var, juniper gibi kasmaya gerek yok.
iyi çalışmalar.
Ali Korkmaz diyor ki:
02 Ocak 2009 tarihinde.
Selam,
Bunu juniper ssl icin degilde, juniper ssg uzerinde client to site vpn (l2tp) icin yapabilirmiyiz. Olabilitesi var mi acaba. Insanlara sifre veriyoruz vpn yapsin diye, adam notebook unun kenarina yapistiriyor unutmayayim diye 🙂
ebru diyor ki:
10 Mart 2009 tarihinde.
bunu ii güzel yapmışlar ama tek bi seçenek olsa bu sayfa tarz şekli alırdı
Ali Korkmaz diyor ki:
29 Mart 2009 tarihinde.
bu sayfa tarz sekli alirdi ne demek?
ebru diyor ki:
30 Mart 2009 tarihinde.
bu güzel olmuşta çok ugraşıyorun hala alamadım 4 olxaktı ama 3 alamadım henüz tek bi sayfa olmasını arz ediyorum
Ali Korkmaz diyor ki:
10 Nisan 2009 tarihinde.
Ara ara bos kaldikca ebru yeni bisiler yazmismi diye bakiyorum, baktikcada “acaba ne demek istemis” diye dusunuyorum. Yoo dostum yoooo.. bu olsa olsa bi bot olur bence.
Ali Korkmaz diyor ki:
25 Haziran 2009 tarihinde.
ilginc bi sekilde bu konuya takintim olustu, yorumda yazan kisinin ne demek istedigini halen anlamadim ve site sahibide konuya iliskin suskunluguna devam ederken bu sis perdesinin aralanacagi gunu beklemekteyim, ziyaretlerim zaman zaman devam edecek, konunun takipcisiyim ve israrciyim..
Sezai YILMAZ diyor ki:
29 Haziran 2009 tarihinde.
Sevgili Ali Korkmaz. SSG iki aşamalı authentication becerisine sahip mi bilmiyorum. Eğer böyle bir becerisi varsa SSG’nin ilk aşama authentication kısmında kurumsal authentication kaynağı kullanılırken, ikinci aşamada radius server olarak bizim geliştirdiğimiz ürün kullanılmakta. Şayet bu beceri varsa SSG ile de çalışır.
Bunun dışında ebru’nun ne demek istediğini anlamadım.
Ali Korkmaz diyor ki:
15 Temmuz 2009 tarihinde.
Cevap icin tesekkurler. Ebru’nun ne demek istedigi sanirim internetin derinliklerinde bi sir perdesi olarak kalmaya devam edecek.
Ali Korkmaz diyor ki:
18 Haziran 2010 tarihinde.
Son yazdigimdan 1 yila yakin bir zaman gecmis.
Tekrar Merhaba,
Artik Ebru nun bizim tarafimizdan kurgulandigini, bir hayal mahsulu oldugunu dusunmeye basladim ve o konuya takintima son veriyorum.
Onemli olan (yalan aklim halen ebruda) su an Juniper SSL vpn kullanisimin 1. gunu ve sanirim OTP olayini gundeme getircem. Bir diger husus ise, acaba juniper SSL vpn de SSO entegrasyonunu ne derece kullandiniz, ben hemen hemen tum kaynaklarda SSO yu kullanmak istiyorum ama en basitinden Owa2003 te ve sharepoint portalda calistiramadim, kaldi ki yazilim tarafimizin gelistirmis oldugu ldap tan sorgu yapan web tabanli uygulamalarda mevcut. Bu konuyla ilgili bi kac satir yazarsaniz cok sevinirim.
A.Gurcan Ozturk diyor ki:
25 Ekim 2010 tarihinde.
Ali Korkmaz, OWA icin SSO uygulamasini webde bulabilirdiniz aslinda, asagidakini kullabilirsin. SSO yontem olarak “remote sso” secin, asagidaki parametreleri form POST olarak tanimlayin, calismasi gerekir. Hatta az once yaptim 🙂
Type : OWA 2003
Base URL http://servername.com/OWA
SSO parameters – REMOTE SSO – post the following data
Resource http://servername.com:80/OWA/auth/logon.aspx?*
Post URL http://servername.com:80/OWA/auth/owaauth.dll
Destination http://servername.com/OWA
Flags 0
Forcedownlevel 0
Trusted 0
Username
Password
isUtf8 1
Ali Korkmaz diyor ki:
24 Ağustos 2011 tarihinde.
Yine karsinizdayim, sezai kizma ama senin burasida gunluk gibi oldu be kardes 🙂
Gurcan verdigin detay icin cok tesekkur ederim, acikcasi buraya yazdiktan sonra kasmaya devam ettim ve SSO yu hemen her uygulamada calistirmayi basardim ama OTP yaptinmi dersen valla yapmamam daha iyi, ne kadar cok bilesen okadar cok sokun meselesi.
Bu arada Ebru, eger bi gun yolun buralara duserse Allah askina bi iki bisi yaz ve beni bu takintidan kurtar 🙂
Herkeze selam, bloga devam 😉
Ali Korkmaz diyor ki:
17 Aralık 2011 tarihinde.
Su an hersey yolunda ssl vpn ile yapmak istediklerimizi yaptik fakat benim icimde tamamlayamadim birseyler var. Bu ebru kimdi ve amaci neydi, sanirim bunu hic ogrenemicem. Onun bir kurgu olduguna iyice kanaat getirdim, belkide hic yazmamistir ve ben sizofrene baglamisimdir. Neyse.. İlk yazdigimdan bu yana 3 yil gecmis ve bakiyorum ki ben burayi gunluk tadinda olmasada yari yillik tadinda kullanmaya devam edicem Sezai buna musade ettikce, tekrar gorusmek uzere..
ali diyor ki:
18 Eylül 2012 tarihinde.
Buraya 2011 yilinda ve 2012 yilinda da yorumlar yazmistim ve sanlis hatirlamiyorsam 2011 yilindaki yorumlarim yayinlanmisti. Fakat simdi o yorumlari goremiyorum, nedir sebebi ogrenme sansim varmidir acaba?