ProHoster > Двухфактарная аўтэнтыфікацыя ў OpenVPN з Telegram ботам
Двухфактарная аўтэнтыфікацыя ў OpenVPN з Telegram ботам
У артыкуле апісваецца настройка сервера OpenVPN для ўключэння двухфактарнай аўтэнтыфікацыі з Telegram ботам, які будзе дасылаць запыт з пацверджаннем пры падключэнні.
OpenVPN – шырока вядомы, бясплатны VPN сервер з адчыненым зыходным кодам, які паўсюдна выкарыстоўваецца для арганізацыі абароненага доступу супрацоўнікаў да ўнутраных рэсурсаў арганізацыі.
У якасці праверкі сапраўднасці для падлучэння да VPN сервера, як правіла выкарыстоўваецца камбінацыя з ключа і лагіна/пароля карыстача. Пры гэтым, захаваны на кліенце пароль ператварае ўвесь набор у адзіны фактар, які не забяспечвае належны ўзровень бяспекі. Зламыснік, атрымаўшы доступ да кліенцкага кампутара, атрымлівае доступ і да VPN сервера ў тым ліку. Асабліва гэта дакранаецца падлучэнні з машын пад кіраваннем Windows.
Выкарыстанне другога фактару на 99% скарачае рызыку неправамернага доступу і зусім не ўскладняе працэс падключэння для карыстальнікаў.
Адразу абмоўлюся, для рэалізацыі запатрабуецца падлучэнне іншага сервера аўтэнтыфікацыі multifactor.ru, у якім для сваіх патрэб можна выкарыстоўваць бясплатны тарыф.
Прынцып працы
OpenVPN выкарыстоўвае ўбудову openvpn-plugin-auth-pam для праверкі сапраўднасці
Убудова правярае пароль карыстача на серверы і запытвае другі фактар праз RADIUS пратакол у сэрвісе Мультыфактару
Мультыфактар адпраўляе праз Telegram бота паведамленне карыстачу з пацверджаннем доступу
Карыстальнік пацвярджае ў Telegram чаце запыт доступу і падключаецца да VPN
Устаноўка OpenVPN сервера
У інтэрнэце мноства артыкулаў, якія апісваюць працэс усталёўкі і налады OpenVPN, таму мы не будзем іх дубляваць. Калі вам патрэбна дапамога, у канцы артыкула ёсць некалькі спасылак на навучальныя матэрыялы.
Настройка Мультыфактару
зайдзіце ў сістэму кіравання Мультыфактарам, зайдзіце ў раздзел "Рэсурсы" і стварыце новы VPN.
Пасля стварэння вам будуць даступныя два параметры: NAS-IDentifier и Агульны сакрэт, яны спатрэбяцца для наступны наладкі.
У падзеле "Групы", зайдзіце ў параметры групы "All users" і прыбярыце сцяг "Усе рэсурсы", каб толькі толькі карыстачы вызначанай групы маглі падлучацца да VPN серверу.
Стварыце новую групу "VPN users", адключыце ўсе спосабы аўтэнтыфікацыі акрамя Telegram і пакажыце, што карыстачы маюць доступ да створанага рэсурсу VPN.
У раздзеле "Карыстальнікі" стварыце карыстальнікаў, якія будуць мець доступ да VPN, дадайце ў групу "VPN users" і адпраўце ім спасылку на настройку другога фактару аўтэнтыфікацыі. Лагін карыстальніка павінен супадаць з лагінам на VPN серверы.
Настройка OpenVPN сервера
Адкрыйце файл /etc/openvpn/server.conf і дадайце плягін для аўтэнтыфікацыі з дапамогай PAM модуля