ProHoster > Dilysiad dau ffactor yn OpenVPN gyda bot Telegram
Dilysiad dau ffactor yn OpenVPN gyda bot Telegram
Mae'r erthygl yn disgrifio sefydlu gweinydd OpenVPN i alluogi dilysu dau ffactor gyda bot Telegram a fydd yn anfon cais cadarnhau wrth gysylltu.
Mae OpenVPN yn weinydd VPN ffynhonnell agored adnabyddus, rhad ac am ddim a ddefnyddir yn helaeth i drefnu mynediad diogel i weithwyr i adnoddau sefydliadol mewnol.
Fel dilysu ar gyfer cysylltu â gweinydd VPN, defnyddir cyfuniad o allwedd a mewngofnodi defnyddiwr / cyfrinair fel arfer. Ar yr un pryd, mae'r cyfrinair sydd wedi'i storio ar y cleient yn troi'r set gyfan yn un ffactor nad yw'n darparu'r lefel briodol o ddiogelwch. Mae ymosodwr, ar ôl cael mynediad i'r cyfrifiadur cleient, hefyd yn cael mynediad i'r gweinydd VPN. Mae hyn yn arbennig o wir ar gyfer cysylltiadau o beiriannau sy'n rhedeg Windows.
Mae defnyddio'r ail ffactor yn lleihau'r risg o fynediad heb awdurdod 99% ac nid yw'n cymhlethu'r broses gysylltu o gwbl i ddefnyddwyr.
Gadewch imi archebu ar unwaith: ar gyfer gweithredu bydd angen i chi gysylltu gweinydd dilysu trydydd parti multifactor.ru, lle gallwch ddefnyddio tariff am ddim ar gyfer eich anghenion.
Egwyddor o weithredu
Mae OpenVPN yn defnyddio'r ategyn openvpn-plugin-auth-pam ar gyfer dilysu
Mae'r ategyn yn gwirio cyfrinair y defnyddiwr ar y gweinydd ac yn gofyn am yr ail ffactor trwy'r protocol RADIUS yn y gwasanaeth Multifactor
Mae Multifactor yn anfon neges at y defnyddiwr trwy Telegram bot yn cadarnhau mynediad
Mae'r defnyddiwr yn cadarnhau'r cais mynediad yn sgwrs Telegram ac yn cysylltu â'r VPN
Gosod gweinydd OpenVPN
Mae yna lawer o erthyglau ar y Rhyngrwyd sy'n disgrifio'r broses o osod a ffurfweddu OpenVPN, felly ni fyddwn yn eu dyblygu. Os oes angen help arnoch, mae sawl dolen i diwtorialau ar ddiwedd yr erthygl.
Sefydlu'r Multifactor
Mynd i System reoli aml-ffactor, ewch i'r adran "Adnoddau" a chreu VPN newydd.
Ar ôl ei greu, bydd gennych ddau opsiwn ar gael i chi: NAS-Dynodydd и Cyfrinach a Rennir, bydd eu hangen ar gyfer cyfluniad dilynol.
Yn yr adran "Grwpiau", ewch i'r gosodiadau grŵp "Pob defnyddiwr" a thynnwch y faner "Holl adnoddau" fel mai dim ond defnyddwyr grŵp penodol sy'n gallu cysylltu â'r gweinydd VPN.
Creu grŵp newydd "Defnyddwyr VPN", analluoga'r holl ddulliau dilysu ac eithrio Telegram a nodi bod gan ddefnyddwyr fynediad i'r adnodd VPN a grëwyd.
Yn yr adran "Defnyddwyr", creu defnyddwyr a fydd â mynediad i'r VPN, eu hychwanegu at y grŵp "defnyddwyr VPN" ac anfon dolen atynt i ffurfweddu'r ail ffactor dilysu. Rhaid i'r mewngofnodi defnyddiwr gyd-fynd â'r mewngofnodi ar y gweinydd VPN.
Sefydlu gweinydd OpenVPN
Agorwch y ffeil /etc/openvpn/server.conf ac ychwanegu ategyn ar gyfer dilysu gan ddefnyddio'r modiwl PAM
Mae'r llinell gyntaf yn cysylltu'r modiwl PAM pam_radius_auth â'r paramedrau:
skip_passwd - yn analluogi trosglwyddo cyfrinair y defnyddiwr i'r gweinydd RADIUS Multifactor (nid oes angen iddo ei wybod).
client_id — disodli [NAS-Identifier] gyda'r paramedr cyfatebol o'r gosodiadau adnoddau VPN.
Disgrifir yr holl baramedrau posibl yn dogfennaeth ar gyfer y modiwl.
Mae'r ail a'r drydedd linell yn cynnwys dilysu system o'r mewngofnodi, cyfrinair a hawliau defnyddiwr ar eich gweinydd ynghyd ag ail ffactor dilysu.
Ailgychwyn OpenVPN
$ sudo systemctl restart openvpn@server
Gosodiad cleient
Cynhwyswch gais am fewngofnodi defnyddiwr a chyfrinair yn ffeil ffurfweddu'r cleient
auth-user-pass
Проверка
Lansio'r cleient OpenVPN, cysylltu â'r gweinydd, rhowch eich enw defnyddiwr a'ch cyfrinair. Bydd y bot Telegram yn anfon cais mynediad gyda dau fotwm
Mae un botwm yn caniatáu mynediad, mae'r ail yn ei rwystro.
Nawr gallwch chi arbed eich cyfrinair yn ddiogel ar y cleient; bydd yr ail ffactor yn amddiffyn eich gweinydd OpenVPN yn ddibynadwy rhag mynediad heb awdurdod.
Os nad yw rhywbeth yn gweithio
Gwiriwch yn ddilyniannol nad ydych wedi methu unrhyw beth:
Mae defnyddiwr ar y gweinydd gydag OpenVPN gyda set cyfrinair
Mae gan y gweinydd fynediad trwy borthladd CDU 1812 i'r cyfeiriad radius.multifactor.ru
Mae paramedrau NAS-Identifier a Shared Secret wedi'u pennu'n gywir
Mae defnyddiwr gyda'r un mewngofnodi wedi'i greu yn y system Multifactor ac wedi cael mynediad i'r grŵp defnyddwyr VPN
Mae'r defnyddiwr wedi ffurfweddu'r dull dilysu trwy Telegram
Os nad ydych wedi sefydlu OpenVPN o'r blaen, darllenwch erthygl fanwl.
Gwneir y cyfarwyddiadau gydag enghreifftiau ar CentOS 7.