ProHoster > Kahefaktoriline autentimine OpenVPN-is koos Telegrami robotiga
Kahefaktoriline autentimine OpenVPN-is koos Telegrami robotiga
Artiklis kirjeldatakse OpenVPN-serveri seadistamist, et võimaldada kahefaktoriline autentimine Telegrami robotiga, mis saadab ühenduse loomisel kinnitustaotluse.
OpenVPN on tuntud tasuta avatud lähtekoodiga VPN-server, mida kasutatakse laialdaselt töötajate turvalise juurdepääsu korraldamiseks organisatsiooni sisemistele ressurssidele.
VPN-serveriga ühenduse loomise autentimiseks kasutatakse tavaliselt võtme ja kasutaja sisselogimise/parooli kombinatsiooni. Samal ajal muudab kliendile salvestatud parool kogu komplekti üheks teguriks, mis ei taga õiget turvataset. Kliendiarvutile juurdepääsu saanud ründaja saab juurdepääsu ka VPN-serverile. See kehtib eriti Windowsi töötavate masinate ühenduste kohta.
Teise teguri kasutamine vähendab volitamata juurdepääsu ohtu 99% ja ei muuda kasutajate ühendamise protsessi üldse keeruliseks.
Lubage mul kohe broneerida: rakendamiseks peate ühendama kolmanda osapoole autentimisserveri multifactor.ru, milles saate oma vajaduste jaoks kasutada tasuta tariifi.
Tööpõhimõte
OpenVPN kasutab autentimiseks pluginat openvpn-plugin-auth-pam
Plugin kontrollib kasutaja parooli serveris ja küsib teist tegurit RADIUS-protokolli kaudu teenuses Multifactor
Multifactor saadab kasutajale Telegrami roboti kaudu juurdepääsu kinnitava sõnumi
Kasutaja kinnitab juurdepääsutaotluse Telegrami vestluses ja loob ühenduse VPN-iga
OpenVPN-serveri installimine
Internetis on palju artikleid, mis kirjeldavad OpenVPN-i installimise ja konfigureerimise protsessi, nii et me ei dubleeri neid. Kui vajate abi, on artikli lõpus mitu linki õpetustele.
Multifaktori seadistamine
Minema Mitmefaktoriline juhtimissüsteem, minge jaotisse "Ressursid" ja looge uus VPN.
Pärast loomist on teil saadaval kaks võimalust: NAS-identifikaator и Jagatud saladus, on neid vaja järgnevaks konfigureerimiseks.
Jaotises "Grupid" minge rühma "Kõik kasutajad" seadetesse ja eemaldage lipp "Kõik ressursid", et VPN-serveriga saaksid ühenduse luua ainult teatud rühma kasutajad.
Looge uus rühm "VPN-i kasutajad", keelake kõik autentimismeetodid, välja arvatud Telegram, ja märkige, et kasutajatel on juurdepääs loodud VPN-i ressursile.
Jaotises "Kasutajad" looge kasutajad, kellel on juurdepääs VPN-ile, lisage nad gruppi "VPN-i kasutajad" ja saatke neile link teise autentimisteguri konfigureerimiseks. Kasutaja sisselogimine peab ühtima VPN-serveri sisselogimisega.
OpenVPN-serveri seadistamine
Avage fail /etc/openvpn/server.conf ja lisage PAM-mooduli abil autentimiseks pistikprogramm
Esimene rida ühendab PAM-mooduli pam_radius_auth parameetritega:
skip_passwd – keelab kasutaja parooli edastamise RADIUS Multifactor serverisse (ta ei pea seda teadma).
client_id — asenda [NAS-Identifier] vastava parameetriga VPN-i ressursi sätetest.
Kõik võimalikud parameetrid on kirjeldatud artiklis mooduli dokumentatsioon.
Teine ja kolmas rida sisaldavad teie serveri sisselogimise, parooli ja kasutajaõiguste süsteemi kontrollimist koos teise autentimisteguriga.
Taaskäivitage OpenVPN
$ sudo systemctl restart openvpn@server
Kliendi seadistamine
Lisage kliendi konfiguratsioonifaili kasutaja sisselogimise ja parooli taotlus
auth-user-pass
Проверка
Käivitage OpenVPN-i klient, looge ühendus serveriga, sisestage oma kasutajanimi ja parool. Telegrami robot saadab juurdepääsutaotluse kahe nupuga
Üks nupp võimaldab juurdepääsu, teine blokeerib selle.
Nüüd saate oma parooli turvaliselt klienti salvestada; teine tegur kaitseb teie OpenVPN-serverit usaldusväärselt volitamata juurdepääsu eest.
Kui miski ei tööta
Kontrollige järjestikku, et te pole millestki ilma jäänud:
Serveris on OpenVPN-iga kasutaja, kellele on määratud parool
Serveril on juurdepääs UDP-pordi 1812 kaudu aadressile radius.multifactor.ru
Parameetrid NAS-Identifier ja Shared Secret on õigesti määratud
Sama sisselogimisega kasutaja on loodud Multifactor süsteemis ja talle on antud juurdepääs VPN-i kasutajarühmale
Kasutaja on Telegrami kaudu konfigureerinud autentimismeetodi