Telegram botu ilə OpenVPN-də iki faktorlu autentifikasiya

Məqalədə OpenVPN serverinin qoşulma zamanı təsdiq sorğusu göndərəcək Telegram botu ilə iki faktorlu autentifikasiyanı aktivləşdirmək üçün necə konfiqurasiya olunacağı təsvir edilir.

OpenVPN tanınmış, pulsuz və açıq mənbəli VPN serveridir və işçilərə təşkilatın daxili resurslarına təhlükəsiz girişi təmin etmək üçün geniş istifadə olunur.

Bir qayda olaraq, VPN serverinə qoşulmaq üçün autentifikasiya kimi açar və istifadəçi adı/parolun birləşməsi istifadə olunur. Eyni zamanda, müştəridə saxlanan parol bütün dəsti lazımi səviyyədə təhlükəsizlik təmin etməyən vahid faktora çevirir. Təcavüzkar müştəri kompüterinə giriş əldə edərək VPN serverinə də daxil olur. Bu xüsusilə Windows ilə işləyən maşınlardan qoşulmaq üçün doğrudur.

İkinci amildən istifadə icazəsiz giriş riskini 99% azaldır və istifadəçilər üçün qoşulma prosesini heç də çətinləşdirmir.

Dərhal bir şərt qoyacağam ki, həyata keçirmək üçün ehtiyaclarınız üçün pulsuz tarifdən istifadə edə biləcəyiniz üçüncü tərəf multifactor.ru autentifikasiya serverinə qoşulmalısınız.

Əməliyyat prinsipi

1. OpenVPN autentifikasiya üçün openvpn-plugin-auth-pam plaginindən istifadə edir
2. Plugin serverdə istifadəçinin parolunu yoxlayır və Multifaktor xidmətində RADIUS protokolu vasitəsilə ikinci faktoru tələb edir.
3. Multifaktor istifadəçiyə giriş təsdiqi ilə Telegram botu vasitəsilə mesaj göndərir
4. İstifadəçi Telegram çatında giriş sorğusunu təsdiqləyir və VPN-ə qoşulur

OpenVPN Serverinin quraşdırılması

İnternetdə OpenVPN-in quraşdırılması və konfiqurasiyası prosesini təsvir edən bir çox məqalə var, buna görə də biz onları təkrar etməyəcəyik. Əgər köməyə ehtiyacınız varsa, məqalənin sonunda dərsliklərə bir neçə keçid var.

Multifaktor təyini

Getmək Multifaktor nəzarət sistemi, Resurslara gedin və yeni VPN yaradın.
Yaratdıqdan sonra iki seçim sizin üçün əlçatan olacaq: NAS ID и Paylaşılan sirr, onlar sonrakı konfiqurasiya üçün tələb olunacaq.

"Qruplar" bölməsində "Bütün istifadəçilər" qrup parametrlərinə keçin və "Bütün resurslar" bayrağının işarəsini çıxarın ki, yalnız müəyyən bir qrupun istifadəçiləri VPN serverinə qoşula bilsin.

Yeni "VPN istifadəçiləri" qrupu yaradın, Telegramdan başqa bütün autentifikasiya üsullarını deaktiv edin və istifadəçilərin yaradılmış VPN resursuna çıxışı olduğunu göstərin.

"İstifadəçilər" bölməsində VPN-ə çıxışı olan istifadəçilər yaradın, qrupa "VPN istifadəçiləri" əlavə edin və ikinci autentifikasiya faktorunu qurmaq üçün onlara link göndərin. İstifadəçi girişi VPN serverindəki girişə uyğun olmalıdır.

OpenVPN serverinin qurulması

Faylı açın /etc/openvpn/server.conf və PAM modulundan istifadə edərək autentifikasiya üçün plagin əlavə edin

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Plugin kataloqda yerləşdirilə bilər /usr/lib/openvpn/plugins/ və ya /usr/lib64/openvpn/plugins/ sisteminizdən asılı olaraq.

Sonra, pam_radius_auth modulunu quraşdırmalısınız

$ sudo yum install pam_radius

Redaktə üçün faylı açın /etc/pam_radius.conf və Multifaktorun RADIUS serverinin ünvanını təyin edin

radius.multifactor.ru   shared_secret   40

Ü:

• radius.multifactor.ru — server ünvanı
• shared_secret - müvafiq VPN parametrləri parametrindən kopyalayın
• 40 saniyə - böyük marja ilə sorğunun vaxtı aşımı

Qalan serverlər silinməli və ya şərh edilməlidir (əvvəlində nöqtəli vergül qoyun)

Sonra xidmət tipli openvpn üçün fayl yaradın

$ sudo vi /etc/pam.d/openvpn

və içinə qoyun

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

birinci sətir pam_radius_auth PAM modulunu parametrlərlə birləşdirir:

• skip_passwd - istifadəçinin parolunun Multifaktor RADIUS serverinə ötürülməsini dayandırır (onun bilməsi lazım deyil).
• client_id - [NAS-İdentifikatoru] VPN resurs parametrlərindən müvafiq parametrlə əvəz edin.
  Bütün mümkün variantlarda təsvir edilmişdir modul üçün sənədlər.

İkinci və üçüncü sətirlərə ikinci autentifikasiya faktoru ilə birlikdə serverinizdə giriş, parol və istifadəçi hüquqlarının sistem yoxlanışı daxildir.

OpenVPN-i yenidən başladın

$ sudo systemctl restart openvpn@server

Müştəri quraşdırması

Müştəri konfiqurasiya faylına istifadəçi adı və parol sorğusu daxil edin

auth-user-pass

Проверка

OpenVPN üçün müştərini işə salın, serverə qoşulun, giriş və şifrənizi daxil edin. Telegram botu iki düymə ilə giriş sorğusu alacaq

Bir düymə girişə imkan verir, ikinci blok.

İndi parolu müştəridə etibarlı şəkildə saxlaya bilərsiniz, ikinci amil OpenVPN serverinizi icazəsiz girişdən etibarlı şəkildə qoruyacaq.

Bir şey işləmirsə

Heç nəyi qaçırmadığınızı ardıcıl olaraq yoxlayın:

• OpenVPN ilə serverdə parol təyin edilmiş istifadəçi var
• UDP portu 1812 vasitəsilə serverdən radius.multifactor.ru ünvanına daxil olun
• NAS-İdentifikator və Paylaşılan Gizli parametrləri düzgündür
• Multifaktor sistemində eyni girişi olan istifadəçi yaradılıb və ona VPN istifadəçi qrupuna daxil olmaq hüququ verilib.
• İstifadəçi Telegram vasitəsilə autentifikasiya metodunu konfiqurasiya edib

Daha əvvəl OpenVPN quraşdırmamısınızsa, oxuyun genişləndirilmiş məqalə.

Təlimat CentOS 7-də nümunələrlə hazırlanmışdır.

Mənbə: www.habr.com