ProHoster > Bi faktoreko autentifikazioa OpenVPNn Telegram bot-arekin

Bi faktoreko autentifikazioa OpenVPNn Telegram bot-arekin

Artikuluak OpenVPN zerbitzari bat konfiguratzea deskribatzen du bi faktoreko autentifikazioa gaitzeko, konektatzean berrespen eskaera bidaliko duen Telegram bot batekin.

OpenVPN kode irekiko VPN zerbitzari ezaguna, doakoa da, langileen barne-baliabideetarako sarbide segurua antolatzeko oso erabiltzen dena.

VPN zerbitzari batera konektatzeko autentifikazio gisa, gako eta erabiltzailearen saio-hasiera/pasahitza konbinazioa erabiltzen da normalean. Aldi berean, bezeroan gordetako pasahitzak segurtasun maila egokia ematen ez duen faktore bakar batean bihurtzen du multzo osoa. Erasotzaile batek, bezeroaren ordenagailurako sarbidea lortu ondoren, VPN zerbitzarirako sarbidea ere lortzen du. Hau bereziki egia da Windows exekutatzen duten makinen konexioetarako.

Bigarren faktorea erabiltzeak % 99 murrizten du baimenik gabeko sarbidea izateko arriskua eta ez die batere zailtzen erabiltzaileei konexio prozesua.

Utzidazu erreserba bat egin berehala: inplementatzeko, hirugarrenen autentifikazio-zerbitzari bat konektatu beharko duzu multifactor.ru, eta bertan zure beharretarako doako tarifa erabil dezakezu.

Eragiketa printzipioa

  1. OpenVPN-k openvpn-plugin-auth-pam plugina erabiltzen du autentifikaziorako
  2. Pluginak erabiltzailearen pasahitza egiaztatzen du zerbitzarian eta bigarren faktorea eskatzen du Multifactor zerbitzuan RADIUS protokoloaren bidez.
  3. Multifactor-ek mezu bat bidaltzen dio erabiltzaileari Telegram bot bidez, sarbidea berresten duena
  4. Erabiltzaileak Telegram txatean sarbide eskaera berresten du eta VPNra konektatzen da

OpenVPN zerbitzari bat instalatzea

Interneten artikulu asko daude OpenVPN instalatzeko eta konfiguratzeko prozesua deskribatzen dutenak, beraz, ez ditugu bikoiztuko. Laguntza behar baduzu, tutorialetarako hainbat esteka daude artikuluaren amaieran.

Multifaktorea konfiguratzea

Joan Faktore anitzeko kontrol-sistema, joan "Baliabideak" atalera eta sortu VPN berri bat.
Sortu ondoren, bi aukera izango dituzu eskura: NAS IDentifier ΠΈ Partekatutako sekretua, beharrezkoak izango dira ondorengo konfiguraziorako.

Bi faktoreko autentifikazioa OpenVPNn Telegram bot-arekin

"Taldeak" atalean, joan "Erabiltzaile guztiak" taldearen ezarpenetara eta kendu "Baliabide guztiak" marka, talde jakin bateko erabiltzaileek soilik VPN zerbitzarira konektatzeko.

Sortu talde berri bat "VPN erabiltzaileak", desgaitu autentifikazio-metodo guztiak Telegram izan ezik eta adierazi erabiltzaileek sortutako VPN baliabiderako sarbidea dutela.

Bi faktoreko autentifikazioa OpenVPNn Telegram bot-arekin

"Erabiltzaileak" atalean, sortu VPNrako sarbidea izango duten erabiltzaileak, gehitu "VPN erabiltzaileak" taldean eta bidali esteka bat autentifikazioaren bigarren faktorea konfiguratzeko. Erabiltzailearen saioa VPN zerbitzariko saioarekin bat etorri behar du.

Bi faktoreko autentifikazioa OpenVPNn Telegram bot-arekin

OpenVPN zerbitzari bat konfiguratzea

Ireki fitxategia /etc/openvpn/server.conf eta gehitu plugin bat PAM modulua erabiliz autentifikaziorako

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Plugin-a direktorioan aurki daiteke /usr/lib/openvpn/plugins/ edo /usr/lib64/openvpn/plugins/ zure sistemaren arabera.

Ondoren, pam_radius_auth modulua instalatu behar duzu

$ sudo yum install pam_radius

Ireki fitxategia editatzeko /etc/pam_radius.conf eta zehaztu Multifactor-eko RADIUS zerbitzariaren helbidea

radius.multifactor.ru   shared_secret   40

non:

  • radius.multifactor.ru β€” zerbitzariaren helbidea
  • shared_secret - kopiatu dagokion VPN ezarpenen parametrotik
  • 40 segundo - denbora-muga marjina handia duen eskaera baten zain egoteko

Gainerako zerbitzariak ezabatu edo iruzkin egin behar dira (jarri puntu eta koma hasieran)

Ondoren, sortu zerbitzu motako openvpn fitxategi bat

$ sudo vi /etc/pam.d/openvpn

eta idatzi

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Lehen lerroak PAM modulua pam_radius_auth parametroekin lotzen du:

  • skip_passwd - erabiltzailearen pasahitzaren transmisioa desgaitzen du RADIUS Multifactor zerbitzariari (ez du jakin behar).
  • client_id β€” ordezkatu [NAS-Identifikatzailea] VPN baliabideen ezarpenetatik dagokion parametroarekin.
    Parametro posible guztiak deskribatzen dira modulurako dokumentazioa.

Bigarren eta hirugarren lerroek zure zerbitzariko saio-hasiera, pasahitza eta erabiltzaile-eskubideen sistemaren egiaztapena barne hartzen dute, bigarren autentifikazio-faktore batekin batera.

Berrabiarazi OpenVPN

$ sudo systemctl restart openvpn@server

Bezeroaren konfigurazioa

Sartu erabiltzaile-saioa eta pasahitza eskaera bezeroaren konfigurazio fitxategian

auth-user-pass

ikuskatzeko

Abiarazi OpenVPN bezeroa, konektatu zerbitzariarekin, idatzi zure erabiltzaile-izena eta pasahitza. Telegram bot-ak sarbide eskaera bat bidaliko du bi botoirekin

Bi faktoreko autentifikazioa OpenVPNn Telegram bot-arekin

Botoi batek sarbidea ahalbidetzen du, bigarrenak blokeatzen du.

Orain segurtasunez gorde dezakezu zure pasahitza bezeroan; bigarren faktoreak zure OpenVPN zerbitzaria baimendu gabeko sarbideetatik babestuko du modu fidagarrian.

Zerbaitek ez badu funtzionatzen

Egiaztatu sekuentzialki ez duzula ezer galdu:

  • OpenVPN duen zerbitzarian erabiltzaile bat dago pasahitz bat ezarrita
  • Zerbitzariak 1812 UDP atakaren bidez sarbidea du radius.multifactor.ru helbidera
  • NAS-Identifikatzailea eta Partekatutako sekretua parametroak behar bezala zehaztu dira
  • Saio-hasiera bera duen erabiltzaile bat sortu da Multifactor sisteman eta VPN erabiltzaile talderako sarbidea eman zaio
  • Erabiltzaileak autentifikazio-metodoa konfiguratu du Telegram bidez

Aurretik OpenVPN konfiguratu ez baduzu, irakurri artikulu zehatza.

Argibideak CentOS 7-n adibideekin egiten dira.

Iturria: www.habr.com

Gehitu iruzkin berria