====== Настройка двухэтапной аутентификации в Guacamole ======
===== Создаем базу данных и пользователя для работы с базой =====
<note important>Данный этап можно пропустить если вы пользовались [[apache_guacamole:apache_guacamole_web_gateway_settings|инструкцией]]</note>

<code>mysql -u root -p</code>
<note><code>create database guacamole_test;</code>
<code>create user guacamole_test@localhost identified by 'password123456';</code>
<code>grant SELECT,UPDATE,INSERT,DELETE on guacamole_test.* to guacamole_test@localhost;</code>
<code>flush privileges;</code>
<code>quit</code>
Где:
  * **guacamole_test** - Имя базы и имя пользователя (измените для себя)
  * **password123456** - пароль (измените для себя)
</note>

===== Ставим дополнения =====
<note important>Данный этап можно пропустить если вы пользовались [[apache_guacamole:apache_guacamole_web_gateway_settings|инструкцией]]</note>
Скачиваем необходимые пакеты
<code>wget https://downloads.apache.org/guacamole/1.5.3/binary/guacamole-auth-jdbc-1.5.3.tar.gz -P /tmp</code>
<code>wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-8.0.30.tar.gz -P /tmp</code>
Переходим в каталог куда скачали пакеты
<code>cd /tmp</code>
Делаем распаковку
<code>tar -xf guacamole-auth-jdbc-1.5.3.tar.gz</code>
<code>tar -xf mysql-connector-java-8.0.30.tar.gz</code>
Копируем в каталог с расширениями и библиотеками guacamole
<code>sudo mv guacamole-auth-jdbc-1.5.3/mysql/guacamole-auth-jdbc-mysql-1.5.3.jar /etc/guacamole/extensions/</code>
<code>sudo cp mysql-connector-java-8.0.30/mysql-connector-java-8.0.30.jar /etc/guacamole/lib/</code>
Прогружаем данные в базу
<code>cd guacamole-auth-jdbc-1.5.3/mysql/schema</code>
<code>cat *.sql | sudo mysql -u root -p guacamole_test</code>
Коннектим базу данных с guacamole
<code>sudo nano /etc/guacamole/guacamole.properties</code>
<code>mysql-hostname: localhost
mysql-database: guacamole_test
mysql-username: guacamole_test
mysql-password: password123456</code>
Перезагружаем сервисы
<code>sudo systemctl restart tomcat guacd</code>

===== Настройка одноразовых паролей =====
Скачиваем и распаковываем дополнения
<code>wget https://downloads.apache.org/guacamole/1.5.3/binary/guacamole-auth-totp-1.5.3.tar.gz -P /tmp</code>
<code>cd /tmp</code>
<code>tar -zxf guacamole-auth-totp-1.5.3.tar.gz</code>
Копируем файлы в каталог с расширениями
<code>sudo cp guacamole-auth-totp-1.5.3/guacamole-auth-totp-1.5.3.jar /etc/guacamole/extensions/</code>
Добавляем в конец файла guacamole.properties строки
<code>nano /etc/guacamole/guacamole.properties</code>
<code>#Settings OTP
#Объект, выдающий учетные записи пользователей, по умолчанию Apache Guacamole
totp-issuer: Apache Guacamole
#Количество цифр сгенерированного HTTP-кода
totp-digits: 7
#Продолжительность действия кода в секундах
totp-period: 30
#Алгоритм хэширования “sha1”,“sha256”,“sha512”
totp-mode: sha1</code>
Перезагружаем сервисы
<code>sudo systemctl restart tomcat* guacd</code>
===== Проверяем работоспособность =====
Открываем в браузере ваш сервер
<code>http://ваш_ip/</code>
Входим под учеткой админа
<note>
  * Логин по умолчанию - **guacadmin**
  * Пароль по умолчанию - **guacadmin**
</note>
Вы должны увидеть такое окно

{{:apache_guacamole:pasted:20231103-115047.png?nolink}}

Если получилось, то считываем QR код любой 2FA программой
<note tip>Пример:
  * Google Authenticator
  * Яндекс.Ключ

Хорошая статья на эту тему [[https://www.kaspersky.ru/blog/best-authenticator-apps-2022/32158/ | тут]]
</note>