Guida alle tecnologie

Come configurare WiKID Strong Authentication 4.0 usando l'opzione Quick-setup

6 min read Sicurezza Aggiornato 19 Oct 2025
Configurare WiKID 4.0 con Quick-setup
Configurare WiKID 4.0 con Quick-setup

Introduzione

La release 4.0 di WiKID Strong Authentication System introduce due novità principali: una licenza gratuita fino a 5 utenti e un sistema di configurazione rapida (quick-setup). Questo tutorial illustra come usare l’opzione quick-setup per creare in modo rapido un server di autenticazione a due fattori completamente funzionante.

Prerequisiti

  • Accesso root o privilegi sudo sul server dove installerai WiKID.
  • PostgreSQL in esecuzione (wiKID usa Pg per il DB).
  • Conoscenza dell’indirizzo IP pubblico/esterno del server e dei client RADIUS che useranno WiKID.

Passo 1 — Copiare il file di esempio

Esegui il comando per copiare il file di configurazione di esempio nella directory corrente:

# cp /opt/WiKID/conf/sample-quick-setup.properties wikid.conf

Passo 2 — Modificare il file di configurazione

Apri il file con l’editor che preferisci:

# vim wikid.conf

Di seguito spieghiamo ogni sezione e cosa inserire. Le righe che iniziano con punto e virgola sono commenti nel file di configurazione.

; passphrase for protecting certs --------------------------------------  
passphrase=protectme  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

Questa passphrase protegge il certificato di valutazione del server. Non perderla: ti servirà per avviare il server e per installare i certificati permanenti. Per maggiore sicurezza, rimuovi o proteggi questa voce dopo la configurazione (puoi salvarla in /etc/WiKID/security se necessario). Ricorda che il certificato di valutazione va aggiornato con la licenza gratuita per 5 utenti entro 30 giorni.

; name to give the domain ----------------------------------------------  
domainname=mydomain

Il campo domainname è il nome del dominio WiKID che comparirà sui token degli utenti. Usa un nome descrittivo e generico, ad esempio “Company X Auth”.

; IP of the server -----------------------------------------------------  
domainip=127.0.0.1

Inserisci qui l’indirizzo IP esterno del server. I token comunicano con il server WiKID, quindi questo indirizzo deve essere raggiungibile dai client.

; 0-Padded IP without dots ---------------------------------------------  
domaincode=127000000001

Il domaincode è l’IP senza punti e con zeri iniziali per facilitare l’inserimento manuale sui token. Gli utenti lo inseriscono una sola volta per token. Non è sensibile: la sicurezza avviene durante la registrazione.

; full hostname of the server; can be same as cn value ----------------------  
hostname=localhost.localdomain

Nome host completamente qualificato (FQDN) del server.

; information for setting up a RADIUS host  
radiushostip=10.1.2.3  
radiushostsecret=mysharedsecret  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

Questa sezione configura un client RADIUS nel server WiKID. Inserisci l’IP e la shared secret del tuo server RADIUS (es. NPS, FreeRADIUS) o del servizio che delega l’autenticazione a WiKID (VPN, webserver, SSH gateway). Per sicurezza, rimuovi o proteggi la shared secret dopo la configurazione.

; optionally create an extra host cert for wauth; leave blank if not needed  
wauthhostip=

Se stai creando un client che utilizza l’API wAuth, inserisci qui il suo IP. Altrimenti lascia vuoto. Il relativo file p12 del client sarà protetto dalla passphrase specificata sopra.

; cert properties ------------------------------------------------------  
; administrative email for this server  
[email protected]  
; hostname of server  
cn=localhost.localdomain  
; organization/company name  
o=myorganization  
; department or other OU  
ou=mydepartment  
; city  
l=mylocation  
; full name of state  
st=mystate  
; 2-letter country code  
c=us

Queste sono le proprietà usate per generare il certificato del server. Inserisci informazioni univoche e accurate: se corrette, il certificato di valutazione potrà essere convertito facilmente in un certificato di produzione. In caso contrario dovrai rigenerare la CSR tramite l’interfaccia WiKIDAdmin.

Importante: non divulgare informazioni sensibili nel file di configurazione. Proteggi i file contenenti passphrase e secret.

Passo 3 — Eseguire quick-setup

Salva il file e avvia la procedura guidata:

# wikidctl quick-setup configfile=wikid.conf

Durante l’esecuzione vedrai output simile al seguente:

----------------------------------------------  
= Checking for valid args ...  
= Make sure Pg is running ...  
= Checking if DB exists ...NO!  
== Setting up new DB ...  
log4j:WARN No appenders could be found for logger (com.mchange.v2.log.MLog).  
log4j:WARN Please initialize the log4j system properly.  
== Got Pg connection ...  
= Setting up intermediate CA cert ...  
= Submitting intermediate CA CSR ...  
= Creating Tomcat cert ...  
= Installing intermediate CA cert ...  
== Intermediate cert installation completed!  
= Setting up cert for localhost ...  
== Setting up localhost settings ...  
== RADIUS host does not exist!  
== Setting up wAuth client ...  
= Setting up cert for 10.100.0.112 ...  
== Setting up non-localhost settings ...  
== Domain exists! 1  
== Adding keys ...

Questi messaggi mostrano i passi principali: controllo argomenti, connessione a PostgreSQL, creazione di certificati intermedi e locali, configurazione RADIUS e wAuth, creazione delle chiavi.

Passo 4 — Avviare il servizio

Dopo una configurazione corretta, avvia il server:

# wikidctl start

Poi apri l’interfaccia amministrativa all’indirizzo:

https://yourserver.com/WiKIDAdmin/

Dovresti vedere il dominio creato, il client RADIUS configurato e i certificati installati. Ora puoi installare un token WiKID sui dispositivi degli utenti e registrare gli account.

Verifica e troubleshooting

  • Se il DB non si connette, verifica che PostgreSQL sia in esecuzione e accessibile dall’utente con cui gira WiKID.
  • Messaggi log4j sono avvisi: possono indicare mancata configurazione del logging ma non bloccano la creazione del DB.
  • Se la configurazione RADIUS fallisce, controlla IP e shared secret; assicurati che eventuali firewall permettano traffico UDP verso le porte RADIUS.
  • Se i certificati non vengono creati correttamente, ricontrolla i campi CN, O, OU e il percorso delle chiavi.

Quando la procedura quick-setup fallisce

  • Ambiente senza privilegi root o processi Pg non avviati impediranno l’esecuzione.
  • Reti private/NAT non raggiungibili dall’esterno possono rendere inutilizzabile il domainip per client esterni.
  • Se usi un IP dinamico o un DNS non risolvibile, valuta l’uso di un FQDN con un certificato valido.

Approcci alternativi

  • Configurazione manuale tramite interfaccia WiKIDAdmin: utile se preferisci inserire impostazioni singolarmente o revisionare ogni voce.
  • Automazione con script Ansible/Terraform: per deployment ripetibili in ambienti aziendali.
  • Uso di certificati esterni (CA pubblica) invece di quelli generati localmente per evitare avvisi di sicurezza sui client.

Mini-metodologia per una configurazione robusta

  1. Preparare l’ambiente: aggiornamenti, utente con sudo, PostgreSQL operativo.
  2. Salvare una copia del file di esempio e modificarla in una directory sicura.
  3. Inserire passphrase robuste e configurare domainip/domainname coerenti con l’infrastruttura.
  4. Eseguire quick-setup e controllare i log in tempo reale.
  5. Avviare il servizio e testare l’autenticazione con un token di prova.
  6. Rimuovere o cifrare le secret dal file di configurazione.

Checklist per ruoli

  • Admin di sistema
    • Verificare privilegi e servizi (Pg, firewall, DNS).
    • Conservare la passphrase in uno store sicuro.
  • Network engineer
    • Garantire reachability tra token/client e domainip.
    • Configurare RADIUS e porte nel firewall.
  • Helpdesk
    • Istruire gli utenti sull’inserimento del domaincode.
    • Preparare procedure di registrazione token e recupero account.

Criteri di accettazione

  • Interfaccia WiKIDAdmin raggiungibile via HTTPS.
  • Dominio presente e configurato correttamente.
  • Client RADIUS aggiunto e comunicante.
  • Almeno un token installato e testato con login riuscito.

Sicurezza e privacy

  • Rimuovi o protegge le shared secret e le passphrase dopo la configurazione.
  • Limita l’accesso al file di configurazione (permessi 600 o equivalenti).
  • Se tratti dati personali degli utenti, valuta il rispetto del GDPR locale: registra solo i dati strettamente necessari per l’autenticazione e conserva i log in modo conforme.

Glossario rapido

  • Token: dispositivo o app che genera codici a due fattori.
  • RADIUS: protocollo di autenticazione usato da VPN e altri servizi.
  • wAuth: API client per integrazione programmatica con WiKID.

Riepilogo

Questo tutorial mostra come utilizzare l’opzione quick-setup di WiKID 4.0 per creare rapidamente un server di autenticazione a due fattori. Copia il file di esempio, aggiorna i campi critici, esegui wikidctl quick-setup e poi wikidctl start. Controlla log e permessi, proteggi le secret e verifica la registrazione di almeno un token prima di considerare l’installazione completa.

Note finali: conserva sempre una copia sicura della passphrase e delle chiavi; rivedi regolarmente i certificati e applica aggiornamenti di sicurezza al sistema.

Condividere: X/Twitter Facebook LinkedIn Telegram
Autore
Redazione

Materiali simili

Ritagliare video per Instagram: guida pratica
Social Media

Ritagliare video per Instagram: guida pratica

Risolvere errore win32kfull.sys e schermata blu
Windows

Risolvere errore win32kfull.sys e schermata blu

MetaMask Learn: Corso gratuito per capire il Web3
Web3

MetaMask Learn: Corso gratuito per capire il Web3

Cambiare lingua di Cortana su Windows 10
Windows 10

Cambiare lingua di Cortana su Windows 10

Aggiornare Ubuntu 12.04 a 14.04 LTS
Guide.

Aggiornare Ubuntu 12.04 a 14.04 LTS

Errore 0xc000001d su Windows: cause e soluzioni
Windows

Errore 0xc000001d su Windows: cause e soluzioni