Artikkelissa kuvataan OpenVPN-palvelimen määrittäminen mahdollistamaan kaksivaiheinen todennus Telegram-botilla, joka lähettää vahvistuspyynnön yhteyden muodostamisen yhteydessä.
OpenVPN on tunnettu, ilmainen, avoimen lähdekoodin VPN-palvelin, jota käytetään laajalti järjestämään työntekijöiden suojattu pääsy organisaation sisäisiin resursseihin.
Todennuksena VPN-palvelimeen yhdistämisessä käytetään yleensä avaimen ja käyttäjän kirjautumistunnuksen/salasanan yhdistelmää. Samaan aikaan asiakkaalle tallennettu salasana muuttaa koko sarjan yhdeksi tekijäksi, joka ei tarjoa oikeaa suojaustasoa. Hyökkääjä, joka on saanut pääsyn asiakastietokoneeseen, pääsee myös VPN-palvelimelle. Tämä pätee erityisesti Windows-koneista tuleviin yhteyksiin.
Toisen tekijän käyttö vähentää luvattoman käytön riskiä 99 % eikä vaikeuta käyttäjien yhteysprosessia ollenkaan.
Anna minun tehdä varaus heti: käyttöönottoa varten sinun on yhdistettävä kolmannen osapuolen todennuspalvelin multifactor.ru, jossa voit käyttää ilmaista tariffia tarpeisiisi.
Toimintaperiaate
OpenVPN käyttää todentamiseen openvpn-plugin-auth-pam-laajennusta
Plugin tarkistaa käyttäjän salasanan palvelimella ja pyytää toista tekijää RADIUS-protokollan kautta Multifactor-palvelussa
Multifactor lähettää käyttäjälle Telegram-botin kautta viestin, joka vahvistaa pääsyn
Käyttäjä vahvistaa pääsypyynnön Telegram-chatissa ja muodostaa yhteyden VPN:ään
OpenVPN-palvelimen asentaminen
Internetissä on monia artikkeleita, jotka kuvaavat OpenVPN:n asennus- ja määritysprosessia, joten emme kopioi niitä. Jos tarvitset apua, artikkelin lopussa on useita linkkejä opetusohjelmiin.
Multifactorin asettaminen
Siirry Monitekijäinen ohjausjärjestelmä, siirry Resurssit-osioon ja luo uusi VPN.
Kun olet luonut, sinulla on käytettävissäsi kaksi vaihtoehtoa: NAS-tunniste и Jaettu salaisuus, niitä tarvitaan myöhempään määritykseen.
Siirry "Ryhmät" -osiossa "Kaikki käyttäjät" -ryhmän asetuksiin ja poista "Kaikki resurssit" -lippu, jotta vain tietyn ryhmän käyttäjät voivat muodostaa yhteyden VPN-palvelimeen.
Luo uusi ryhmä "VPN-käyttäjät", poista käytöstä kaikki todennusmenetelmät Telegramia lukuun ottamatta ja ilmoita, että käyttäjillä on pääsy luotuun VPN-resurssiin.
Luo "Käyttäjät" -osiossa käyttäjiä, joilla on pääsy VPN:ään, lisää heidät "VPN-käyttäjät" -ryhmään ja lähetä heille linkki toisen todennustekijän määrittämiseksi. Käyttäjätunnuksen on vastattava VPN-palvelimen kirjautumista.
OpenVPN-palvelimen määrittäminen
Avaa tiedosto /etc/openvpn/server.conf ja lisää laajennus todennusta varten PAM-moduulin avulla
Ensimmäinen rivi yhdistää PAM-moduulin pam_radius_auth parametreihin:
skip_passwd - estää käyttäjän salasanan lähettämisen RADIUS Multifactor -palvelimelle (hänen ei tarvitse tietää sitä).
client_id — korvaa [NAS-Identifier] vastaavalla parametrilla VPN-resurssiasetuksista.
Kaikki mahdolliset parametrit on kuvattu kohdassa moduulin dokumentaatio.
Toinen ja kolmas rivi sisältävät palvelimesi kirjautumistunnuksen, salasanan ja käyttöoikeuksien järjestelmän vahvistuksen sekä toisen todennustekijän.
Käynnistä OpenVPN uudelleen
$ sudo systemctl restart openvpn@server
Asiakkaan asetukset
Sisällytä käyttäjän tunnuksen ja salasanan pyyntö asiakkaan asetustiedostoon
auth-user-pass
Проверка
Käynnistä OpenVPN-asiakas, muodosta yhteys palvelimeen, anna käyttäjätunnuksesi ja salasanasi. Telegram-botti lähettää pääsypyynnön kahdella painikkeella
Yksi painike sallii pääsyn, toinen estää sen.
Nyt voit turvallisesti tallentaa salasanasi asiakkaalle; toinen tekijä suojaa OpenVPN-palvelintasi luotettavasti luvattomalta käytöltä.
Jos jokin ei toimi
Tarkista peräkkäin, ettet ole missannut mitään:
Palvelimella on käyttäjä, jolla on OpenVPN ja jolla on salasana
Palvelimella on pääsy UDP-portin 1812 kautta osoitteeseen radius.multifactor.ru
NAS-Identifier- ja Shared Secret -parametrit on määritetty oikein
Multifactor-järjestelmään on luotu käyttäjä samalla kirjautumistunnuksella, jolle on myönnetty pääsy VPN-käyttäjäryhmään
Käyttäjä on määrittänyt todennusmenetelmän Telegramin kautta