Настройка WiKID 4.0 через Quick-setup

Введение

WiKID Strong Authentication 4.0 привносит две ключевые новшества: бесплатный режим до 5 пользователей и механизм быстрого старта (quick-setup). Quick-setup позволяет описать параметры сервера в текстовом файле и автоматически создать рабочий сервер двухфакторной аутентификации с нужными сертификатами и настройками RADIUS.

Кому полезно: системным администраторам, небольшим компаниям, тестовым окружениям и домашним лабораториям.

Важно: этот гайд ориентирован на администраторов с привилегиями root или с sudo-права.

Требования и подготовка

Доступ к серверу с правами root или sudo.
Установленный WiKID 4.0 в /opt/WiKID (по умолчанию).
Рабочая СУБД PostgreSQL, если она не запущена — quick-setup попытается инициализировать базу.
IP/хостнеймы и секреты RADIUS (если будете подключать RADIUS-клиента).

Рекомендуется сделать резервную копию текущих конфигураций и иметь план отката.

Быстрая последовательность действий (Quick walkthrough)

Скопируйте пример конфигурации в рабочий файл.

# cp /opt/WiKID/conf/sample-quick-setup.properties wikid.conf

Откройте файл в редакторе и отредактируйте значения.

# vim wikid.conf

Сохраните и запустите quick-setup.

# wikidctl quick-setup configfile=wikid.conf

Запустите сервер.

# wikidctl start

Откройте административный интерфейс: https://yourserver.com/WiKIDAdmin/ и завершите регистрацию токенов и пользователей.

Разбор файла конфигурации

Ниже пояснения к основным блокам в примере. В исходном файле строки, начинающиеся с “;”, считаются комментариями.

; passphrase for protecting certs --------------------------------------  
passphrase=protectme  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

passphrase — фраза-пароль, используемая для защиты p12 сертификатов сервера и клиентских p12. Не теряйте её: она нужна для старта сервиса и для установки постоянных сертификатов. После установки рекомендуется удалить или защитить этот параметр (см. раздел «Усиление безопасности»).

; name to give the domain ----------------------------------------------  
domainname=mydomain

domainname — отображаемое имя домена WiKID. Оно будет видно пользователям при настройке токенов (например, «Company X Auth»).

; IP of the server -----------------------------------------------------  
domainip=127.0.0.1

domainip — внешний (или доступный клиентам) IP-адрес сервера. Токены будут обращаться по этому адресу.

; 0-Padded IP without dots ---------------------------------------------  
domaincode=127000000001

domaincode — IP без точек, с нулями, предназначен для удобного ручного ввода при настройке токена.

; full hostname of the server; can be same as cn value ----------------------  
hostname=localhost.localdomain

hostname — FQDN сервера; используется при генерации сертификатов.

; information for setting up a RADIUS host  
radiushostip=10.1.2.3  
radiushostsecret=mysharedsecret  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

radiushostip / radiushostsecret — если вы планируете интеграцию с RADIUS-клиентом (VPN, NPS, FreeRADIUS и т. п.), укажите адрес и общий секрет. Не храните секрет в открытом виде в долгосрочной конфигурации.

; optionally create an extra host cert for wauth; leave blank if not needed  
wauthhostip=

wauthhostip — IP для дополнительного клиентского сертификата wAuth (API-клиента). Оставьте пустым, если не используете.

; cert properties ------------------------------------------------------  
; administrative email for this server  
[email protected]  
; hostname of server  
cn=localhost.localdomain  
; organization/company name  
o=myorganization  
; department or other OU  
ou=mydepartment  
; city  
l=mylocation  
; full name of state  
st=mystate  
; 2-letter country code  
c=us

Блок свойств сертификата (CN, O, OU, L, ST, C). Указывайте корректные, уникальные значения — это упростит перевод оценочного сертификата в производственный.

Запуск quick-setup и ожидаемый вывод

При выполнении команды вы увидите поэтапный лог, примерный вывод:

----------------------------------------------  
= Checking for valid args ...  
= Make sure Pg is running ...  
= Checking if DB exists ...NO!  
== Setting up new DB ...  
log4j:WARN No appenders could be found for logger (com.mchange.v2.log.MLog).  
log4j:WARN Please initialize the log4j system properly.  
== Got Pg connection ...  
= Setting up intermediate CA cert ...  
= Submitting intermediate CA CSR ...  
= Creating Tomcat cert ...  
= Installing intermediate CA cert ...  
== Intermediate cert installation completed!  
= Setting up cert for localhost ...  
== Setting up localhost settings ...  
== RADIUS host does not exist!  
== Setting up wAuth client ...  
= Setting up cert for 10.100.0.112 ...  
== Setting up non-localhost settings ...  
== Domain exists! 1  
== Adding keys ...

Если процесс прошёл без ошибок, запустите службу:

# wikidctl start

Зайдите в веб-интерфейс администратора: https://yourserver.com/WiKIDAdmin/ — домен должен быть создан, RADIUS-клиент настроен, сертификаты установлены.

Пост-установка: регистрация токенов и пользователей

Установите клиент WiKID (мобильное приложение/десктопный токен) у пользователей.
При регистрации укажите domaincode или domainname и выполните процедуру связывания токена с пользователем.
Проверьте аутентификацию через RADIUS-клиент (VPN/SSH/веб) на тестовом учётном записях.

Критерии приёмки

Веб-интерфейс WiKIDAdmin доступен по HTTPS.
Сертификаты созданы и не имеют ошибок в логе.
RADIUS-клиент успешно аутентифицирует тестового пользователя.
Установленные токены проходят проверку MFA.

Усиление безопасности (рекомендации)

Удалите или надёжно зашифруйте passphrase в конфиге после окончания установки.
Не храните radiushostsecret в открытом текстовом файле в долгосрочной конфигурации; используйте секретный менеджер.
Ограничьте доступ к административной панели по IP и используйте строгие правила брандмауэра.
Обновите оценочный сертификат на продакшн-версию и следуйте процедурам ротации ключей.

Важно: оценочный сертификат с 5-пользовательской лицензией нужно продлить/конвертировать в течение 30 дней.

Типичные проблемы и их решения

“Make sure Pg is running” — проверьте статус PostgreSQL: systemctl status postgresql; убедитесь, что параметры подключения верны.
“RADIUS host does not exist” — добавьте radiushostip и radiushostsecret или проверьте, что указанный адрес доступен.
Проблемы с сертификатом — проверьте значения CN/O/OU в блоке cert properties и повторно сгенерируйте CSR в WiKIDAdmin, если требуется.

Если процесс quick-setup завершился с ошибкой, проверьте логи в /var/log/WiKID и перезапустите процедуру после исправления конфигурации.

Роли и чеклисты

Администратор системы:
- Скопировать пример конфигурации.
- Настроить passphrase и сохранить копию в безопасном месте.
- Запустить quick-setup и наблюдать за логом.
Сетевой инженер:
- Убедиться, что domainip доступен извне при необходимости.
- Настроить RADIUS-клиенты и брандмауэр.
Оператор (подготовка пользователей):
- Подготовить список пользователей, адреса электронной почты и инструкции для установки токена.

Короткий глоссарий (1 строка)

domaincode — нулевое представление IP без точек для удобного ввода при привязке токена.
passphrase — фраза-пароль для защиты p12 сертификатов.
wAuth — API/клиентская библиотека для интеграции с WiKID.

Когда этот метод может не подойти

Для крупного продакшен-окружения с сотнями пользователей рекомендуется полноценная лицензия и детальная PKI-процедура; quick-setup подходит для пилота и малых инсталляций.
Если ваша политика безопасности запрещает временные оценочные сертификаты, требуется заранее подготовленная инфраструктура PKI.

Краткое резюме

Quick-setup в WiKID 4.0 ускоряет развёртывание сервера MFA: правьте конфиг, запускайте команду, проверяйте логи и регистрируйте токены. После установки обязательно выполните шаги по безопасности: удаление секретов, замена оценочных сертификатов и настройка контроля доступа.

Примечание: вы можете скачать WiKID Strong Authentication server с официального источника после проверки совместимости с вашей инфраструктурой.