Kahefaktoriline autentimine OpenVPN-is koos Telegrami robotiga

Artiklis kirjeldatakse OpenVPN-serveri seadistamist, et võimaldada kahefaktoriline autentimine Telegrami robotiga, mis saadab ühenduse loomisel kinnitustaotluse.

OpenVPN on tuntud tasuta avatud lähtekoodiga VPN-server, mida kasutatakse laialdaselt töötajate turvalise juurdepääsu korraldamiseks organisatsiooni sisemistele ressurssidele.

VPN-serveriga ühenduse loomise autentimiseks kasutatakse tavaliselt võtme ja kasutaja sisselogimise/parooli kombinatsiooni. Samal ajal muudab kliendile salvestatud parool kogu komplekti üheks teguriks, mis ei taga õiget turvataset. Kliendiarvutile juurdepääsu saanud ründaja saab juurdepääsu ka VPN-serverile. See kehtib eriti Windowsi töötavate masinate ühenduste kohta.

Teise teguri kasutamine vähendab volitamata juurdepääsu ohtu 99% ja ei muuda kasutajate ühendamise protsessi üldse keeruliseks.

Lubage mul kohe broneerida: rakendamiseks peate ühendama kolmanda osapoole autentimisserveri multifactor.ru, milles saate oma vajaduste jaoks kasutada tasuta tariifi.

Tööpõhimõte

1. OpenVPN kasutab autentimiseks pluginat openvpn-plugin-auth-pam
2. Plugin kontrollib kasutaja parooli serveris ja küsib teist tegurit RADIUS-protokolli kaudu teenuses Multifactor
3. Multifactor saadab kasutajale Telegrami roboti kaudu juurdepääsu kinnitava sõnumi
4. Kasutaja kinnitab juurdepääsutaotluse Telegrami vestluses ja loob ühenduse VPN-iga

OpenVPN-serveri installimine

Internetis on palju artikleid, mis kirjeldavad OpenVPN-i installimise ja konfigureerimise protsessi, nii et me ei dubleeri neid. Kui vajate abi, on artikli lõpus mitu linki õpetustele.

Multifaktori seadistamine

Minema Mitmefaktoriline juhtimissüsteem, minge jaotisse "Ressursid" ja looge uus VPN.
Pärast loomist on teil saadaval kaks võimalust: NAS-identifikaator и Jagatud saladus, on neid vaja järgnevaks konfigureerimiseks.

Jaotises "Grupid" minge rühma "Kõik kasutajad" seadetesse ja eemaldage lipp "Kõik ressursid", et VPN-serveriga saaksid ühenduse luua ainult teatud rühma kasutajad.

Looge uus rühm "VPN-i kasutajad", keelake kõik autentimismeetodid, välja arvatud Telegram, ja märkige, et kasutajatel on juurdepääs loodud VPN-i ressursile.

Jaotises "Kasutajad" looge kasutajad, kellel on juurdepääs VPN-ile, lisage nad gruppi "VPN-i kasutajad" ja saatke neile link teise autentimisteguri konfigureerimiseks. Kasutaja sisselogimine peab ühtima VPN-serveri sisselogimisega.

OpenVPN-serveri seadistamine

Avage fail /etc/openvpn/server.conf ja lisage PAM-mooduli abil autentimiseks pistikprogramm

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Plugin võib asuda kataloogis /usr/lib/openvpn/plugins/ või /usr/lib64/openvpn/plugins/ olenevalt teie süsteemist.

Järgmisena peate installima mooduli pam_radius_auth

$ sudo yum install pam_radius

Avage fail redigeerimiseks /etc/pam_radius.conf ja määrake Multifactori RADIUS-serveri aadress

radius.multifactor.ru   shared_secret   40

kus:

• radius.multifactor.ru — serveri aadress
• jagatud_saladus – kopeeri vastavast VPN-i sätete parameetrist
• 40 sekundit – suure varuga päringu ootamise ajalõpp

Ülejäänud serverid tuleb kustutada või kommenteerida (semikoolon algusesse)

Järgmisena looge teenuse tüüpi openvpn fail

$ sudo vi /etc/pam.d/openvpn

ja kirjuta see sisse

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Esimene rida ühendab PAM-mooduli pam_radius_auth parameetritega:

• skip_passwd – keelab kasutaja parooli edastamise RADIUS Multifactor serverisse (ta ei pea seda teadma).
• client_id — asenda [NAS-Identifier] vastava parameetriga VPN-i ressursi sätetest.
  Kõik võimalikud parameetrid on kirjeldatud artiklis mooduli dokumentatsioon.

Teine ja kolmas rida sisaldavad teie serveri sisselogimise, parooli ja kasutajaõiguste süsteemi kontrollimist koos teise autentimisteguriga.

Taaskäivitage OpenVPN

$ sudo systemctl restart openvpn@server

Kliendi seadistamine

Lisage kliendi konfiguratsioonifaili kasutaja sisselogimise ja parooli taotlus

auth-user-pass

Проверка

Käivitage OpenVPN-i klient, looge ühendus serveriga, sisestage oma kasutajanimi ja parool. Telegrami robot saadab juurdepääsutaotluse kahe nupuga

Üks nupp võimaldab juurdepääsu, teine ​​blokeerib selle.

Nüüd saate oma parooli turvaliselt klienti salvestada; teine ​​tegur kaitseb teie OpenVPN-serverit usaldusväärselt volitamata juurdepääsu eest.

Kui miski ei tööta

Kontrollige järjestikku, et te pole millestki ilma jäänud:

• Serveris on OpenVPN-iga kasutaja, kellele on määratud parool
• Serveril on juurdepääs UDP-pordi 1812 kaudu aadressile radius.multifactor.ru
• Parameetrid NAS-Identifier ja Shared Secret on õigesti määratud
• Sama sisselogimisega kasutaja on loodud Multifactor süsteemis ja talle on antud juurdepääs VPN-i kasutajarühmale
• Kasutaja on Telegrami kaudu konfigureerinud autentimismeetodi

Kui te pole varem OpenVPN-i seadistanud, lugege laiendatud artikkel.

Juhised on koostatud CentOS 7 näidetega.

Allikas: www.habr.com