Kahefaktoriline autentimine OpenVPN Telegrami robotiga

See artikkel kirjeldab, kuidas serverit seadistada. OpenVPN Kahefaktorilise autentimise lubamiseks Telegrami robotiga, mis saadab ühenduse loomisel kinnitustaotluse.

OpenVPN — laialdaselt tuntud, tasuta ja avatud lähtekoodiga VPN-server, mida kasutatakse laialdaselt töötajate turvalise juurdepääsu tagamiseks organisatsiooni sisemistele ressurssidele.

VPN-serveriga ühenduse loomiseks kasutatakse autentimiseks tavaliselt võtme ja kasutaja sisselogimise/parooli kombinatsiooni. Kliendiarvutisse salvestatud parool muudab aga kogu komplekti üheks teguriks, mis ei taga vajalikku turvalisuse taset. Ründaja, kes saab juurdepääsu klientarvutile, saab juurdepääsu ka VPN-serverile. See kehtib eriti ühenduste kohta masinatest, millel töötab Windows.

Teise teguri kasutamine vähendab volitamata juurdepääsu ohtu 99% ja ei muuda kasutajate ühendamise protsessi üldse keeruliseks.

Lubage mul kohe broneerida: rakendamiseks peate ühendama kolmanda osapoole autentimisserveri multifactor.ru, milles saate oma vajaduste jaoks kasutada tasuta tariifi.

Tööpõhimõte

1. OpenVPN kasutab autentimiseks pluginat openvpn-plugin-auth-pam
2. Plugin kontrollib kasutaja parooli serveris ja küsib teist tegurit RADIUS-protokolli kaudu teenuses Multifactor
3. Multifactor saadab kasutajale Telegrami roboti kaudu juurdepääsu kinnitava sõnumi
4. Kasutaja kinnitab juurdepääsutaotluse Telegrami vestluses ja loob ühenduse VPN-iga

Paigaldamine OpenVPN server

Internetis on palju artikleid, mis kirjeldavad installimise ja seadistamise protsessi. OpenVPN, seega me neid dubleerima ei hakka. Kui vajate abi, on artikli lõpus mitu linki koolitusmaterjalidele.

Multifaktori seadistamine

Minema Mitmefaktoriline juhtimissüsteem, minge jaotisse "Ressursid" ja looge uus VPN.
Pärast loomist on teil saadaval kaks võimalust: NAS-identifikaator и Jagatud saladus, on neid vaja järgnevaks konfigureerimiseks.

Jaotises "Grupid" minge rühma "Kõik kasutajad" seadetesse ja eemaldage lipp "Kõik ressursid", et VPN-serveriga saaksid ühenduse luua ainult teatud rühma kasutajad.

Looge uus rühm "VPN-i kasutajad", keelake kõik autentimismeetodid, välja arvatud Telegram, ja märkige, et kasutajatel on juurdepääs loodud VPN-i ressursile.

Jaotises "Kasutajad" looge kasutajad, kellel on juurdepääs VPN-ile, lisage nad gruppi "VPN-i kasutajad" ja saatke neile link teise autentimisteguri konfigureerimiseks. Kasutaja sisselogimine peab ühtima VPN-serveri sisselogimisega.

reguleerimine OpenVPN server

Avage fail /etc/openvpn/server.conf ja lisage PAM-mooduli abil autentimiseks pistikprogramm

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Plugin võib asuda kataloogis /usr/lib/openvpn/plugins/ või /usr/lib64/openvpn/plugins/ olenevalt teie süsteemist.

Järgmisena peate installima mooduli pam_radius_auth

$ sudo yum install pam_radius

Avage fail redigeerimiseks /etc/pam_radius.conf ja määrake Multifactori RADIUS-serveri aadress

radius.multifactor.ru   shared_secret   40

kus:

• radius.multifactor.ru — serveri aadress
• jagatud_saladus – kopeeri vastavast VPN-i sätete parameetrist
• 40 sekundit – suure varuga päringu ootamise ajalõpp

Ülejäänud serverid tuleb kustutada või kommenteerida (semikoolon algusesse)

Järgmisena looge teenuse tüüpi openvpn fail

$ sudo vi /etc/pam.d/openvpn

ja kirjuta see sisse

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Esimene rida ühendab PAM-mooduli pam_radius_auth parameetritega:

• skip_passwd – keelab kasutaja parooli edastamise RADIUS Multifactor serverisse (ta ei pea seda teadma).
• client_id — asenda [NAS-Identifier] vastava parameetriga VPN-i ressursi sätetest.
  Kõik võimalikud parameetrid on kirjeldatud artiklis mooduli dokumentatsioon.

Teine ja kolmas rida sisaldavad teie serveri sisselogimise, parooli ja kasutajaõiguste süsteemi kontrollimist koos teise autentimisteguriga.

Taaskäivita OpenVPN

$ sudo systemctl restart openvpn@server

Kliendi seadistamine

Lisage kliendi konfiguratsioonifaili kasutaja sisselogimise ja parooli taotlus

auth-user-pass

Проверка

Käivita klient OpenVPN, looge ühendus serveriga ja sisestage oma kasutajanimi ja parool. Telegrami bot saadab teile kahe nupuga juurdepääsutaotluse.

Üks nupp võimaldab juurdepääsu, teine ​​blokeerib selle.

Nüüd saate oma parooli kliendile turvaliselt salvestada, teine ​​​​tegur kaitseb teie parooli usaldusväärselt OpenVPN serverit volitamata juurdepääsu eest.

Kui miski ei tööta

Kontrollige järjestikku, et te pole millestki ilma jäänud:

• Serveril koos OpenVPN on kasutaja, kellel on määratud parool
• Serveril on juurdepääs UDP-pordi 1812 kaudu aadressile radius.multifactor.ru
• Parameetrid NAS-Identifier ja Shared Secret on õigesti määratud
• Sama sisselogimisega kasutaja on loodud Multifactor süsteemis ja talle on antud juurdepääs VPN-i kasutajarühmale
• Kasutaja on Telegrami kaudu konfigureerinud autentimismeetodi

Kui te pole seda varem seadistanud OpenVPN, loe seda laiendatud artikkel.

Juhised on koostatud näidetega CentOS 7.

Allikas: www.habr.com