ปัจจุบันบระบบยืนยันตัวตนแบบ 2 ขั้นตอน (2FA) หรือ MFA ถูกผลักดันให้ใช้งานกันอย่างแพร่หลาย ทั้งนี้เพื่อยกระดับการรักษาความปลอดภัยของระบบสารสนเทศ คณะการแพทย์แผนไทย ม.อ. มีความมุ่งหมายที่จะเปลี่ยนแปลงระบบล๊อกอินของระบบสารสนเทศต่างๆ ทั้งหมดของคณะให้เป็น 2FA ตามนโยบายความปลอดภัยของมหาวิทยาลัยฯ ด้วย
ต่อไปนี้จะแสดงตัวอย่างการ implement ระบบเพื่อติดตั้งใช้งาน PSU Passport (Authentik) ด้วยภาษา PHP
(more…)ปัจจุบันนักศึกษาและบุคลากรของมหาวิทยาลัยสงขลานครินทร์ สามารถใช้งาน Office365 ได้แล้ว โดยมีเงื่อนไขดังนี้
ทดสอบบน : Ubuntu 14.04
ขั้นตอนการติดตั้ง Certificate บนเครื่อง Ubuntu Server
1. เข้า Web Site : https://ca.psu.ac.th ทำการ Login ด้วย Account PSU Passport
2. ให้เลือกหัวข้อ Download a CA Certificate….. ดังรูป
3. ในหน้าต่าง Download a CA Certificate ให้ทำการ Download ไฟล์ดังรูป (เลือกดี ๆ นะครับ เลือก Base 64 ไม่ใช่ DER)
4. เมื่อโหลดแล้วจะได้ไฟล์ดังรูป
5. เมื่อดูข้อความในไฟล์จะได้ประมาณรูปนี้ (ที่เป็นแถบขาว คือ Sensor ครับ :P)
6. ทำการ copy ข้อความในไฟล์ certificate ไปยัง folder เก็บ certificate ดังนี้
sudo sh -c 'cat certnew.cer > /etc/ssl/certs/psucer.crt'
7. ทำการแก้ไขไฟล์ /etc/ldap/ldap.conf ดังนี้
#TLS_CACERT /etc/ssl/certs/ca-certificates.crt TLS_CACERT /etc/ssl/certs/psucer.crt
*หมายเหตุ จริง ๆ แล้วมีอีกวิธีคือข้ามการ Check Certificate ไปเลย โดยจะเพิ่มข้อความ TLS_REQCERT never ท้ายไฟล์ /etc/ldap/ldap.conf ก็ได้ดังนี้
sudo sh -c 'echo "TLS_REQCERT never" >> /etc/ldap/ldap.conf'
แต่วิธีนี้อาจจะไม่ปลอดภัยครับ เพราะอาจเจอ phising site ที่ปลอม server เข้ามาสวมรอยได้ครับ เพราะไม่ได้มีการ verify certificate ว่า server เป็นตัวจริง
ทดสอบบน : Windows Server 2008 R2
ขั้นตอนการดาวน์โหลด CA Certificate PSU Passport
1. เข้า Web Site : https://ca.psu.ac.th ทำการ Login ด้วย Account PSU Passport
2. ให้เลือกหัวข้อ Download a CA Certificate….. ดังรูป
3. ในหน้าต่าง Download a CA Certificate ให้ทำการ Download ไฟล์ดังรูป
4. เมื่อโหลดแล้วจะได้ไฟล์ดังรูป
ขั้นตอนการติดตั้ง Certificate บนเครื่อง Windows Server สำหรับ PHP5
1. ในกรณีที่ใช้งานกับ php5 ให้ดาวน์โหลด CA Certificate PSU Passport ใหม่โดยเลือกเป็น Base 64 ดังรูป
2. จากนั้น ให้ rename file cer เป็น .pem ดังรูป (ระวังชื่อไฟล์ให้ดี ๆ ครับ จากรูปชื่อไฟล์ certnew(1).cer เพราะมีไฟล์ certnew.cer อยู่แล้ว ซึ่งเป็นไฟล์แบบ DER ใช้แทนกันไม่ได้)
3. สร้าง Folder c:/openldap/sysconf/ และทำการ copy file .pem และสร้างไฟล์ ldap.conf ดังรูป
4. เพิ่มข้อความในไฟล์ ldap.conf ดังนี้
TLS_CACERT c:\openldap\sysconf\certnew.pem
5. จากนั้นทำการ Restart เครื่องเป็นอันจบ
ขั้นตอนการติดตั้ง Certificate บนเครื่อง Windows Server สำหรับ .NET Application
1. เปิดหน้าต่าง Run พิมพ์ mmc จากนั้นกด OK
2. เลือก Add/Remove Snap-in
3. เลือก Computer Account
4. เลือก Local computer
5. เลือก Trust Root Certification Authorities -> Certificates คลิกขวา เลือก All Tasks -> Import
6. จะปรากฎหน้าต่าง Welcome กด Next
7. จากนั้นจะปรากฎให้ใส่ไฟล์ Cer ให้ Browse ไฟล์ Cer ดังรูป (ชื่อไฟล์ในรูปอาจจะคนละชื่อกับไฟล์ที่โหลดในข้อ 1 ไม่ต้องสงสัยครับ)
8. จากนั้นกด Next
9. สุดท้ายกด Finish
เป็นอันเสร็จครับ ^ ^
หมายเหตุ
ที่มา
* ติดตั้งโปรแกรมชื่อ l2tp-ipsec-vpn ด้วยคำสั่ง
$sudo apt-get install l2tp-ipsec-vpn
ดังภาพ
* ตอบ y
* ตอบ No
* กด OK
* สั่ง reboot เครื่อง
* เมื่อบูทเสร็จจะพบว่ามีไอคอนเพิ่มมาบนพาเนล
* คลิกซ้ายเลือก Edit Connection
* หน้าจอจะมืดลงและมีช่องให้ใส่พาสเวิร์ดของผู้ใช้ลงไปแล้วกด OK
* จะได้หน้าจอดังรูป
* คลิก Add จะได้หน้าจอดังรูป ใส่ vpn.psu.ac.th ลงไปในช่อง Connection name กด OK
* ได้ดังรูป
* คลิก Edit กรอกข้อความตามรูป
* คลิก PPP เลือกตามรูป ในช่อง Username และ Password ให้ใช้ PSU Passport
* คลิก IP setting คลิกเครื่องหมายถูกในช่องสี่เหลี่ยมหน้าข้อความ Obtain DNS server address automatically กด OK
* กด OK ออกมาจนสุดคลิก Close คลิก OK
* Reboot อีกครั้ง
* คลิกที่ไอคอน เลือก vpn.psu.ac.th
* เมื่อเชื่อมต่อสำเร็จจะเป็นดังรูป
* สำหรับ Linux Mint 15 อาจจะต้องทำคำสั่งนี้ก่อนจึงจะใช้งานได้
sudo apt-add-repository ppa:werner-jaeger/ppa-werner-vpn
sudo apt-get update && sudo apt-get install l2tp-ipsec-vpn
* ขอให้สนุกครับ
กิจกรรม CoP PSU sysadmin KM1 “การทำงานกับ PSU Passport” วันที่ 21 ธ.ค. 55 เวลา 09.30 – 14.00 น. มีอาหารเที่ยงเลี้ยงด้วย พบกันที่ห้อง 102 ศูนย์คอมพิวเตอร์ ม.อ. หาดใหญ่ครับ
กำหนดการ
เวลา 09.30 – 10.00 น. ลงทะเบียนและรับประทานอาหารว่าง
เวลา 10.00 – 12.00 น. แลกเปลี่ยนเรียนรู้ หัวข้อ “การทำงานกับ PSU Passport”
เวลา 12.00 – 13.00 น. รับประทานอาหารเที่ยงร่วมกัน
เวลา 13.00 – 14.00 น. ตอบปัญหาและข้อซักถาม
นำเสนอโดย คุณจตุพร ชูช่วย แอดมินทีมเซิร์ฟเวอร์ ศูนย์คอมพิวเตอร์ ม.อ. หาดใหญ่
รอบนี่้ผมคิดว่า คุยกันไม่ต้องเร่งรีบมาก ในช่วงแรก แล้วเบรคพักเที่ยง ทานข้าวด้วยกัน แล้วถ้ายังมีคำถามไว้ในช่วงบ่ายอีก 1 ชั่วโมงครับ (ดูรายชื่อผู้ที่แจ้งเข้าร่วม)
หัวข้อที่จะเล่าและตอบคำถาม
1. โครงสร้างของระบบ PSU Passport
2. การนำเข้าข้อมูลเพื่อสร้าง Account บน PSU Passport
3. บริการของระบบ PSU Passport (ldap/ldaps,web service,ระบบเปลี่ยนรหัสผ่าน)
4. สิทธิการเข้าถึงชั้นความลับของ PSU Passport (ระบบความปลอดภัยของข้อมูล)
5. ข้อกำหนดใช้บริการ PSU Passport (พรบ. คอม 50)
6. ระบบจัดการข้อมูลบน PSU Passport (AdsAdmin)
7. การออก Account ในกลุ่มอื่น ๆ (Guest,VIP,LAB)
8. ตัวอย่างการเข้าใช้งานบน Application ต่าง ๆ (LDAP,Web Service)
9. ระบบลงทะเบียน Server Authen ในอนาคต
10. แนวทางการเผยแพร่ความรู้ในอนาคต
11. ตอบคำถามกวนใจใคร
ช่วง ตอบคำถามกวนใจใคร เช่น
ผู้ใช้: อยากให้ศูนย์คอมฯมี database view ของ PSU Passport เพื่อให้คณะคอนเนคเข้ามาได้
แอดมินศูนย์:
– ข้อมูลอะไรครับ หากเฉพาะ user/password ก็ใข้ passport ได้อยู่แล้ว ?
– หากเป็นข้อมูลบุคลากรให้ติดต่อการเจ้าหน้าที่มหาวิทยาลัยเพื่อขอสิทธิ์เข้าถึงข้อมูลครับ
– และหากเป็นข้อมูลนักศึกษาให้ติดต่อทะเบียนกลางเพื่อขอสิทธิ์เข้าถึงข้อมูล ครับ
ผู้ใช้: ถ้าให้ 0com เป็นตัวกลาง ประสานงานให้ แบบ one stop service ได้มั้ยครับ
แบบว่าไม่ต้องไปติดต่อหลายที่
แอดมินศูนย์:
ไม่ได้ครับ เพราะเราไม่ใช่เจ้าของข้อมูล เป็นแค่ที่เก็บ ต้องขอเจ้าของครับ
ผู้ใช้: สามารถทำให้ antivirus แต่ละค่าย สามารถ
update อัตโนมัติได้โดยไม่ต้อง authen psu passport ได้ไหม
เพราะโดยปกติเครื่องคอมขึ้นมา โปรแกรม antivirus จะทำการ update
ให้อัตโนมัติ เครื่องคอมผู้ใช้ ถ้าไม่ได้ authen psu passport
ผ่านหน้าเว็บทันที จะขึ้น โปรแกรม antivirus จะเตือน update failed
ผู้ใช้: ไม่แน่ใจว่า ตอนนี้ ศูนย์คอมเปิดเป็น web service ให้กับคณะเรียกใช้หรือเปล่า
ขอบคุณทุกท่านที่มาร่วมกันแลกเปลี่ยนเรียนรู้ด้วยกัน
วิบูลย์
รายชื่อผู้ดำเนินกิจกรรมครั้งนี้
รายชื่อผู้ที่แจ้งเข้าร่วม