The multifactor-selfservice-portal from multifactorlab

Change PWD after 2FA

New behavior when trying to access disabled functionality: now the user is redirected to the home page. Warning log is written with information about the disabled functionality.
Handling cases where a user logged in with an expired password. Before changing the expired password, the user is redirected to the the second factor confirm page. And only after confirming the second factor, the user will be returned to the expired password change form. Main steps:
1. Submit login page. If password is expired, go to step 2.
2. Confirm 2FA.
3. Create a 2 minute password changing session. If during this session you go to any existed page of the SSP, each time you will be redirected to the password change page. If session is expired or if authentication token is invalidated, go to step 1.
4. Redirect to the password change page. Set new password and submit form.
5. Redirect to the login page.
Password changing session. To configure session options you can specify the following settings in the configuration file:
- pwd-changing-session-lifetime (optional) - session lifetime in hh:mm:ss format (00:02:00 by default).
- `pwd-changing-session-cache-size` (optional) - session storage size in `bytes` (5 242 880 by default).
Extended logging:
- warning if the login/password are correct, but the password is expired.
- warning if user was redirected to the change password page but the password management is not enabled.
404/unhandled Error catching: now in case of unhandled error technical page will be displayed and the error log will be written.

Установить на виртуалку Ubuntu

VirtualBox.
Ubuntu 64.

Логирование

Подключить Serilog.
Убедиться, что в линуксе Serilog пишет по умолчанию в syslog.
Настроить запись в файлик.

IStringLocalizer<SharedResource> возвращает хрень

Отлавливать исключения UnauthorizedExceptions и кидать на соответствующее представление

Decide whether use exception filters or exception handling middleware in the lin portal

Аутентификация LDAP: перенос базового функционала

Подключить аутентификацию форм.
SignIn, SinOut.

Аутентификация: установка сессии

Аутентификация с альтернативным суффиксом без UPN

Если в AD проставить альтернатифный суффикс (например, 301.exchange) и попробовать войти в портал, вводя логин не в UPN, ничего не получится. Это нормальное поведение - в этих случаях надо указывать UPN.

Но можно переделать таким образом:

Bind под технической учеткой.
Поиск пользователя по samaccountname (нужно учитывать, что в freeipa и openldap будет не samaccountname, а UID).
Bind с найденным DN и указанным паролем

а также смотреть, если UPN, то искать по атрибуту UserPricipalName
а если DN, то вообще не искать, а использовать как есть

Первый запуск на Linux

Добавить поддержку поиска пользователя в нескольких доменах, поиск в доверенных доменах

Добавить в конфигурации портала
-возможность задать несколько доменов и пользователя, для поиска в каждом домене
-для каждого домена ищутся трасты и пользователя проверяем в т.ч. в трасте

Поправить описание на сайте

Локализация

Включить локализация UI.
Включить локализация DataAnnotations.

Возможность передавать дополнительные Claims при SAML/OIDC SSO

в т.ч. нужна возможность мэппить LDAP-атрибуты в Claims

SYSTEMD: автостарт приложения

[Unit]
Description=Self Service Portal for Linux Service

[Service]
WorkingDirectory=/var/www/sspl
ExecStart=/usr/bin/dotnet /var/www/sspl/MultiFactor.SelfService.Linux.Portal.dll
Restart=always
RestartSec=10
KillSignal=SIGINT
TimeoutStopSec=90
SyslogIdentifier=sspl-service
User=sspl-service-user
Environment=ASPNETCORE_ENVIRONMENT=localhost
Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

[Install]
WantedBy=multi-user.target

NGINX

реверс-прокси (https://sspl.multifactor.dev)
ssl (letsencrypt)

server {
root /var/www/html;
server_name sspl.multifactor.dev;

location / {
	proxy_pass         http://localhost:5000;
    proxy_http_version 1.1;
    proxy_set_header   Upgrade $http_upgrade;
    proxy_set_header   Connection keep-alive;
    proxy_set_header   Host $host;
    proxy_cache_bypass $http_upgrade;
    proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header   X-Forwarded-Proto $scheme;
}

listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/sspl.multifactor.dev/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/sspl.multifactor.dev/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
if ($host = sspl.multifactor.dev) {
return 301 https://$host$request_uri;
} # managed by Certbot

listen 80;

server_name sspl.multifactor.dev;
return 404; # managed by Certbot

}

Неинформативный логи ошибки верификации в AD

Ограничение на доступ к порталу пользователям из группы

Если пользователь не в группе, не давать совсем заходить на портал

Views: Account

Login
Logout
ByPassSamlSession

Views: Home

Index

multifactorlab / multifactor-selfservice-portal Goto Github PK

multifactor-selfservice-portal's People

Contributors

Stargazers

Watchers

multifactor-selfservice-portal's Issues

Recommend Projects

Recommend Topics

Recommend Org