ProHoster > Twa-faktor autentikaasje yn OpenVPN mei Telegram bot
Twa-faktor autentikaasje yn OpenVPN mei Telegram bot
It artikel beskriuwt it ynstellen fan in OpenVPN-tsjinner om twa-faktor-autentikaasje yn te skeakeljen mei in Telegram-bot dy't in befêstigingsfersyk sil stjoere by ferbining.
OpenVPN is in bekende, fergese, iepen-boarne VPN-tsjinner dy't in soad brûkt wurdt om feilige wurknimmer tagong te organisearjen ta ynterne organisatoaryske boarnen.
As autentikaasje foar ferbining mei in VPN-tsjinner, wurdt meastentiids in kombinaasje fan in kaai en brûkersoanmelding/wachtwurd brûkt. Tagelyk feroaret it wachtwurd dat op 'e kliïnt is opslein de heule set yn ien faktor dy't net it juste nivo fan feiligens leveret. In oanfaller, dy't tagong hat ta in kliïntkompjûter, krijt ek tagong ta de VPN-tsjinner. Dit is benammen wier foar ferbiningen fan masines dy't Windows draaie.
It brûken fan de twadde faktor ferleget it risiko fan net autorisearre tagong mei 99% en komplisearret it ferbiningsproses foar brûkers hielendal net.
Lit my direkt in reservearje meitsje: foar ymplemintaasje moatte jo in autentikaasjetsjinner fan tredden ferbine multifactor.ru, wêryn jo in fergese taryf kinne brûke foar jo behoeften.
Hoe't it wurket
OpenVPN brûkt de openvpn-plugin-auth-pam-plugin foar autentikaasje
De plugin kontrolearret it wachtwurd fan 'e brûker op' e tsjinner en freget de twadde faktor fia it RADIUS-protokol yn 'e Multifactor-tsjinst
Multifactor stjoert in berjocht nei de brûker fia Telegram bot dy't tagong befêstiget
De brûker befêstiget it tagongsfersyk yn Telegram-chat en ferbynt mei de VPN
It ynstallearjen fan in OpenVPN-tsjinner
D'r binne in protte artikels op it ynternet dy't it proses fan it ynstallearjen en konfigurearjen fan OpenVPN beskriuwe, dus wy sille se net duplikearje. As jo help nedich binne, binne d'r ferskate keppelings nei tutorials oan 'e ein fan it artikel.
It ynstellen fan de Multifactor
Gean nei Multifactor kontrôle systeem, gean nei de seksje "Boarnen" en meitsje in nije VPN.
Sadree't jo makke binne, sille jo twa opsjes foar jo hawwe: NAS-IDentifier и Dielde geheim, se sille nedich wêze foar folgjende konfiguraasje.
Gean yn 'e seksje "Groepen" nei de groepynstellingen "Alle brûkers" en ferwiderje de flagge "Alle boarnen", sadat allinich brûkers fan in bepaalde groep kinne ferbine mei de VPN-tsjinner.
Meitsje in nije groep "VPN-brûkers", útskeakelje alle autentikaasjemetoaden útsein Telegram en jouwe oan dat brûkers tagong hawwe ta de makke VPN-boarne.
Meitsje yn 'e seksje "Brûkers" brûkers dy't tagong hawwe ta de VPN, foegje se ta oan 'e groep "VPN-brûkers" en stjoer se in keppeling om de twadde faktor fan autentikaasje te konfigurearjen. De brûkersoanmelding moat oerienkomme mei de oanmelding op de VPN-tsjinner.
In OpenVPN-tsjinner ynstelle
Iepenje de triem /etc/openvpn/server.conf en foegje in plugin ta foar autentikaasje mei de PAM-module
De earste rigel ferbynt de PAM-module pam_radius_auth mei de parameters:
skip_passwd - skeakelet oerdracht fan it wachtwurd fan de brûker nei de RADIUS Multifactor-tsjinner út (hy hoecht it net te witten).
client_id - ferfange [NAS-Identifier] mei de oerienkommende parameter út de VPN-boarne ynstellings.
Alle mooglike parameters wurde beskreaun yn dokumintaasje foar de module.
De twadde en tredde rigels omfetsje systeemferifikaasje fan 'e oanmelding, wachtwurd en brûkersrjochten op jo server tegearre mei in twadde autentikaasjefaktor.
OpenVPN opnij starte
$ sudo systemctl restart openvpn@server
Client opset
Opnimme in fersyk foar brûkersoanmelding en wachtwurd yn it clientkonfiguraasjetriem
auth-user-pass
ynspeksje
Starte de OpenVPN-kliïnt, ferbine mei de tsjinner, fier jo brûkersnamme en wachtwurd yn. De Telegram-bot sil in tagongsfersyk stjoere mei twa knoppen
Ien knop lit tagong ta, de twadde blokkearret it.
No kinne jo jo wachtwurd feilich opslaan op 'e kliïnt; de twadde faktor sil jo OpenVPN-tsjinner betrouber beskermje tsjin net foechhawwende tagong.
As wat net wurket
Kontrolearje sekwinsjele dat jo neat hawwe mist:
D'r is in brûker op 'e server mei OpenVPN mei in wachtwurd ynsteld
De tsjinner hat tagong fia UDP haven 1812 oan it adres radius.multifactor.ru
De parameters NAS-Identifier en Shared Secret binne korrekt oantsjutte
In brûker mei deselde oanmelding is makke yn it Multifactor-systeem en hat tagong krigen ta de VPN-brûkersgroep
De brûker hat de autentikaasjemetoade konfigureare fia Telegram