ProHoster > Dufaktora aŭtentigo en OpenVPN kun Telegram-bot
Dufaktora aŭtentigo en OpenVPN kun Telegram-bot
La artikolo priskribas agordi OpenVPN-servilon por ebligi dufaktoran aŭtentikigon per Telegram-robotisto, kiu sendos konfirman peton dum la konekto.
OpenVPN estas konata, senpaga, malfermfonta VPN-servilo, kiu estas vaste uzata por organizi sekuran dungitan aliron al internaj organizaj rimedoj.
Kiel aŭtentigo por konektiĝi al VPN-servilo, kombinaĵo de ŝlosilo kaj uzantsaluto/pasvorto estas kutime uzata. Samtempe, la pasvorto stokita sur la kliento igas la tutan aron en ununuran faktoron, kiu ne provizas la taŭgan nivelon de sekureco. Atakanto, akirinte aliron al klienta komputilo, ankaŭ akiras aliron al la VPN-servilo. Ĉi tio validas precipe por konektoj de maŝinoj kurantaj Vindozon.
Uzado de la dua faktoro reduktas la riskon de neaŭtorizita aliro je 99% kaj tute ne malfaciligas la konektan procezon por uzantoj.
Lasu min fari rezervon tuj: por efektivigo vi devos konekti trian aŭtentikan servilon multifactor.ru, en kiu vi povas uzi senpagan tarifon por viaj bezonoj.
Kiel ĝi funkcias
OpenVPN uzas la aldonaĵon openvpn-plugin-auth-pam por aŭtentigo
La kromaĵo kontrolas la pasvorton de la uzanto sur la servilo kaj petas la duan faktoron per la RADIUS-protokolo en la Multifactor-servo
Multifactor sendas mesaĝon al la uzanto per Telegram-bot konfirmante aliron
La uzanto konfirmas la alirpeton en Telegram-babilejo kaj konektas al la VPN
Instalante OpenVPN-servilon
Estas multaj artikoloj en la Interreto priskribanta la procezon de instalado kaj agordo de OpenVPN, do ni ne duobligos ilin. Se vi bezonas helpon, estas pluraj ligiloj al lerniloj ĉe la fino de la artikolo.
Agordo de la Multifaktoro
Iru al Multifaktora kontrolsistemo, iru al la sekcio "Rimedoj" kaj kreu novan VPN.
Fojo kreita, vi havos du eblojn disponeblajn al vi: NAS-identigilo и Komuna Sekreto, ili estos postulataj por posta agordo.
En la sekcio "Grupoj", iru al la grupaj agordoj "Ĉiuj uzantoj" kaj forigu la flagon "Ĉiuj rimedoj" por ke nur uzantoj de certa grupo povu konektiĝi al la VPN-servilo.
Kreu novan grupon "VPN-uzantoj", malŝaltu ĉiujn aŭtentigajn metodojn krom Telegramo kaj indiku, ke uzantoj havas aliron al la kreita VPN-rimedo.
En la sekcio "Uzantoj", kreu uzantojn, kiuj havos aliron al la VPN, aldonu ilin al la grupo "VPN-uzantoj" kaj sendu al ili ligilon por agordi la duan faktoron de aŭtentigo. La uzantsaluto devas kongrui kun la ensaluto sur la VPN-servilo.
Agordante OpenVPN-servilon
Malfermu la dosieron /etc/openvpn/server.conf kaj aldonu kromprogramon por aŭtentigo uzante la PAM-modulon
La unua linio ligas la PAM-modulon pam_radius_auth kun la parametroj:
skip_passwd - malebligas transdonon de la pasvorto de la uzanto al la RADIUS Multifactor-servilo (li ne bezonas scii ĝin).
client_id — anstataŭigu [NAS-Identigilo] per la responda parametro de la VPN-rimeda agordo.
Ĉiuj eblaj parametroj estas priskribitaj en dokumentado por la modulo.
La dua kaj tria linioj inkluzivas sisteman konfirmon de la ensaluto, pasvorto kaj uzantrajtoj sur via servilo kune kun dua aŭtentikiga faktoro.
Rekomencu OpenVPN
$ sudo systemctl restart openvpn@server
Klienta agordo
Enmetu peton pri uzantsaluto kaj pasvorto en la klienta agorda dosiero
auth-user-pass
inspektado
Lanĉu la OpenVPN-klienton, konektu al la servilo, enigu vian uzantnomon kaj pasvorton. La Telegram-bot sendos alirpeton kun du butonoj
Unu butono permesas aliron, la dua blokas ĝin.
Nun vi povas sekure konservi vian pasvorton ĉe la kliento; la dua faktoro fidinde protektos vian OpenVPN-servilon kontraŭ neaŭtorizita aliro.
Se io ne funkcias
Sinsekve kontrolu, ke vi nenion maltrafis:
Estas uzanto sur la servilo kun OpenVPN kun pasvorta fiksita
La servilo havas aliron per UDP-haveno 1812 al la adreso radius.multifactor.ru
La NAS-Identigilo kaj Kundividita Sekreta parametroj estas precizigitaj ĝuste
Uzanto kun la sama ensaluto estis kreita en la Multifactor-sistemo kaj ricevis aliron al la VPN-uzantgrupo
La uzanto agordis la aŭtentikigmetodon per Telegramo