ProHoster > Dilysiad dau ffactor yn OpenVPN gyda bot Telegram

Dilysiad dau ffactor yn OpenVPN gyda bot Telegram

Mae'r erthygl yn disgrifio sefydlu gweinydd OpenVPN i alluogi dilysu dau ffactor gyda bot Telegram a fydd yn anfon cais cadarnhau wrth gysylltu.

Mae OpenVPN yn weinydd VPN ffynhonnell agored adnabyddus, rhad ac am ddim a ddefnyddir yn helaeth i drefnu mynediad diogel i weithwyr i adnoddau sefydliadol mewnol.

Fel dilysu ar gyfer cysylltu â gweinydd VPN, defnyddir cyfuniad o allwedd a mewngofnodi defnyddiwr / cyfrinair fel arfer. Ar yr un pryd, mae'r cyfrinair sydd wedi'i storio ar y cleient yn troi'r set gyfan yn un ffactor nad yw'n darparu'r lefel briodol o ddiogelwch. Mae ymosodwr, ar ôl cael mynediad i'r cyfrifiadur cleient, hefyd yn cael mynediad i'r gweinydd VPN. Mae hyn yn arbennig o wir ar gyfer cysylltiadau o beiriannau sy'n rhedeg Windows.

Mae defnyddio'r ail ffactor yn lleihau'r risg o fynediad heb awdurdod 99% ac nid yw'n cymhlethu'r broses gysylltu o gwbl i ddefnyddwyr.

Gadewch imi archebu ar unwaith: ar gyfer gweithredu bydd angen i chi gysylltu gweinydd dilysu trydydd parti multifactor.ru, lle gallwch ddefnyddio tariff am ddim ar gyfer eich anghenion.

Egwyddor o weithredu

  1. Mae OpenVPN yn defnyddio'r ategyn openvpn-plugin-auth-pam ar gyfer dilysu
  2. Mae'r ategyn yn gwirio cyfrinair y defnyddiwr ar y gweinydd ac yn gofyn am yr ail ffactor trwy'r protocol RADIUS yn y gwasanaeth Multifactor
  3. Mae Multifactor yn anfon neges at y defnyddiwr trwy Telegram bot yn cadarnhau mynediad
  4. Mae'r defnyddiwr yn cadarnhau'r cais mynediad yn sgwrs Telegram ac yn cysylltu â'r VPN

Gosod gweinydd OpenVPN

Mae yna lawer o erthyglau ar y Rhyngrwyd sy'n disgrifio'r broses o osod a ffurfweddu OpenVPN, felly ni fyddwn yn eu dyblygu. Os oes angen help arnoch, mae sawl dolen i diwtorialau ar ddiwedd yr erthygl.

Sefydlu'r Multifactor

Mynd i System reoli aml-ffactor, ewch i'r adran "Adnoddau" a chreu VPN newydd.
Ar ôl ei greu, bydd gennych ddau opsiwn ar gael i chi: NAS-Dynodydd и Cyfrinach a Rennir, bydd eu hangen ar gyfer cyfluniad dilynol.

Dilysiad dau ffactor yn OpenVPN gyda bot Telegram

Yn yr adran "Grwpiau", ewch i'r gosodiadau grŵp "Pob defnyddiwr" a thynnwch y faner "Holl adnoddau" fel mai dim ond defnyddwyr grŵp penodol sy'n gallu cysylltu â'r gweinydd VPN.

Creu grŵp newydd "Defnyddwyr VPN", analluoga'r holl ddulliau dilysu ac eithrio Telegram a nodi bod gan ddefnyddwyr fynediad i'r adnodd VPN a grëwyd.

Dilysiad dau ffactor yn OpenVPN gyda bot Telegram

Yn yr adran "Defnyddwyr", creu defnyddwyr a fydd â mynediad i'r VPN, eu hychwanegu at y grŵp "defnyddwyr VPN" ac anfon dolen atynt i ffurfweddu'r ail ffactor dilysu. Rhaid i'r mewngofnodi defnyddiwr gyd-fynd â'r mewngofnodi ar y gweinydd VPN.

Dilysiad dau ffactor yn OpenVPN gyda bot Telegram

Sefydlu gweinydd OpenVPN

Agorwch y ffeil /etc/openvpn/server.conf ac ychwanegu ategyn ar gyfer dilysu gan ddefnyddio'r modiwl PAM

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Gellir lleoli'r ategyn yn y cyfeiriadur /usr/lib/openvpn/plugins/ neu /usr/lib64/openvpn/plugins/ yn dibynnu ar eich system.

Nesaf mae angen i chi osod y modiwl pam_radius_auth

$ sudo yum install pam_radius

Agorwch y ffeil i'w golygu /etc/pam_radius.conf a nodwch gyfeiriad gweinydd RADIUS yr Multifactor

radius.multifactor.ru   shared_secret   40

lle:

  • radious.multifactor.ru — cyfeiriad gweinydd
  • shared_secret - copi o'r paramedr gosodiadau VPN cyfatebol
  • 40 eiliad - terfyn amser ar gyfer aros am gais gydag ymyl fawr

Rhaid dileu neu wneud sylwadau ar weddill y gweinyddion (rhowch hanner colon ar y dechrau)

Nesaf, crëwch ffeil ar gyfer openvpn math o wasanaeth

$ sudo vi /etc/pam.d/openvpn

a'i ysgrifennu yn

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Mae'r llinell gyntaf yn cysylltu'r modiwl PAM pam_radius_auth â'r paramedrau:

  • skip_passwd - yn analluogi trosglwyddo cyfrinair y defnyddiwr i'r gweinydd RADIUS Multifactor (nid oes angen iddo ei wybod).
  • client_id — disodli [NAS-Identifier] gyda'r paramedr cyfatebol o'r gosodiadau adnoddau VPN.
    Disgrifir yr holl baramedrau posibl yn dogfennaeth ar gyfer y modiwl.

Mae'r ail a'r drydedd linell yn cynnwys dilysu system o'r mewngofnodi, cyfrinair a hawliau defnyddiwr ar eich gweinydd ynghyd ag ail ffactor dilysu.

Ailgychwyn OpenVPN

$ sudo systemctl restart openvpn@server

Gosodiad cleient

Cynhwyswch gais am fewngofnodi defnyddiwr a chyfrinair yn ffeil ffurfweddu'r cleient

auth-user-pass

Проверка

Lansio'r cleient OpenVPN, cysylltu â'r gweinydd, rhowch eich enw defnyddiwr a'ch cyfrinair. Bydd y bot Telegram yn anfon cais mynediad gyda dau fotwm

Dilysiad dau ffactor yn OpenVPN gyda bot Telegram

Mae un botwm yn caniatáu mynediad, mae'r ail yn ei rwystro.

Nawr gallwch chi arbed eich cyfrinair yn ddiogel ar y cleient; bydd yr ail ffactor yn amddiffyn eich gweinydd OpenVPN yn ddibynadwy rhag mynediad heb awdurdod.

Os nad yw rhywbeth yn gweithio

Gwiriwch yn ddilyniannol nad ydych wedi methu unrhyw beth:

  • Mae defnyddiwr ar y gweinydd gydag OpenVPN gyda set cyfrinair
  • Mae gan y gweinydd fynediad trwy borthladd CDU 1812 i'r cyfeiriad radius.multifactor.ru
  • Mae paramedrau NAS-Identifier a Shared Secret wedi'u pennu'n gywir
  • Mae defnyddiwr gyda'r un mewngofnodi wedi'i greu yn y system Multifactor ac wedi cael mynediad i'r grŵp defnyddwyr VPN
  • Mae'r defnyddiwr wedi ffurfweddu'r dull dilysu trwy Telegram

Os nad ydych wedi sefydlu OpenVPN o'r blaen, darllenwch erthygl fanwl.

Gwneir y cyfarwyddiadau gydag enghreifftiau ar CentOS 7.

Ffynhonnell: hab.com

Ychwanegu sylw