Fíordheimhniú dhá fhachtóir in OpenVPN le Telegram bot

Déanann an t-alt cur síos ar fhreastalaí OpenVPN a bhunú chun fíordheimhniú dhá fhachtóir a chumasú le bot Telegram a sheolfaidh iarratas deimhnithe agus tú ag nascadh.

Is freastalaí VPN foinse oscailte aitheanta, saor in aisce é OpenVPN a úsáidtear go forleathan chun rochtain shlán fostaithe ar acmhainní eagraíochtúla inmheánacha a eagrú.

Mar fhíordheimhniú chun nascadh le freastalaí VPN, úsáidtear meascán d’eochair agus logáil isteach/focal faire úsáideora de ghnáth. Ag an am céanna, casann an focal faire atá stóráilte ar an gcliant an tsraith iomlán ina fhachtóir amháin nach soláthraíonn an leibhéal ceart slándála. Tar éis do ionsaitheoir rochtain a fháil ar an ríomhaire cliaint, faigheann sé rochtain ar an bhfreastalaí VPN freisin. Tá sé seo fíor go háirithe maidir le naisc ó mheaisíní a ritheann Windows.

Trí úsáid a bhaint as an dara fachtóir laghdaítear an baol rochtana neamhúdaraithe faoi 99% agus ní chuireann sé casta ar an bpróiseas nasctha d’úsáideoirí ar chor ar bith.

Lig dom áirithint a dhéanamh ar an bpointe boise: le haghaidh cur i bhfeidhm beidh ort multifactor.ru freastalaí fíordheimhnithe tríú páirtí a nascadh, inar féidir leat taraif saor in aisce a úsáid le haghaidh do chuid riachtanas.

Prionsabal oibríochta

1. Úsáideann OpenVPN an breiseán openvpn-plugin-auth-pam le haghaidh fíordheimhnithe
2. Seiceálann an breiseán pasfhocal an úsáideora ar an bhfreastalaí agus iarrann sé an dara fachtóir tríd an bprótacal RADIUS sa tseirbhís Multifactor
3. Cuireann Multifactor teachtaireacht chuig an úsáideoir trí Telegram bot ag dearbhú rochtana
4. Deimhníonn an t-úsáideoir an t-iarratas rochtana i gcomhrá Telegram agus nascann sé leis an VPN

Freastalaí OpenVPN a shuiteáil

Tá go leor altanna ar an Idirlíon a chuireann síos ar an bpróiseas chun OpenVPN a shuiteáil agus a chumrú, mar sin ní dhéanfaimid iad a dhúbailt. Má tá cabhair uait, tá roinnt nasc chuig ranganna teagaisc ag deireadh an ailt.

Socrú an Multifactor

Téigh go Córas rialaithe multifactor, téigh go dtí an rannán "Acmhainní" agus cruthaigh VPN nua.
Nuair a bheidh tú cruthaithe, beidh dhá rogha ar fáil duit: NAS-Aitheantóir и Rúnda Roinnte, beidh siad ag teastáil le haghaidh cumraíochta ina dhiaidh sin.

Sa rannán "Grúpaí", téigh go dtí na socruithe grúpa "Gach úsáideoir" agus bain an bhratach "Gach acmhainn" ionas gur féidir le húsáideoirí amháin de ghrúpa áirithe ceangal leis an bhfreastalaí VPN.

Cruthaigh grúpa nua "úsáideoirí VPN", díchumasaigh gach modh fíordheimhnithe ach amháin Telegram agus cuir in iúl go bhfuil rochtain ag úsáideoirí ar an acmhainn VPN cruthaithe.

Sa roinn "Úsáideoirí", cruthaigh úsáideoirí a mbeidh rochtain acu ar an VPN, cuir leis an ngrúpa "úsáideoirí VPN" iad agus seol nasc iad chun an dara fachtóir fíordheimhnithe a chumrú. Caithfidh logáil isteach an úsáideora an logáil isteach ar an bhfreastalaí VPN a mheaitseáil.

Freastalaí OpenVPN a shocrú

Oscail an comhad /etc/openvpn/server.conf agus cuir breiseán le haghaidh fíordheimhnithe ag baint úsáide as an modúl PAM

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Is féidir an breiseán a bheith suite san eolaire /usr/lib/openvpn/plugins/ nó /usr/lib64/openvpn/plugins/ ag brath ar do chóras.

Ansin ní mór duit an modúl pam_radius_auth a shuiteáil

$ sudo yum install pam_radius

Oscail an comhad le haghaidh eagarthóireacht /etc/pam_radius.conf agus sonraigh seoladh fhreastalaí RADIUS an Multifactor

radius.multifactor.ru   shared_secret   40

más rud é:

• radius.multifactor.ru - seoladh freastalaí
• shared_secret - cóipeáil ó pharaiméadar na socruithe VPN comhfhreagracha
• 40 soicind - teorainn ama le fanacht ar iarratas le corrlach mór

Ní mór na freastalaithe eile a scriosadh nó trácht a dhéanamh orthu (cuir leathstad ag an tús)

Ansin, cruthaigh comhad le haghaidh openvpn cineál seirbhíse

$ sudo vi /etc/pam.d/openvpn

agus scríobh isteach é

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Ceanglaíonn an chéad líne an modúl PAM pam_radius_auth leis na paraiméadair:

• skip_passwd - díchumasaítear tarchur phasfhocal an úsáideora chuig an bhfreastalaí RADIUS Multifactor (ní gá go mbeadh a fhios aige).
• client_id — cuir an paraiméadar comhfhreagrach ó na socruithe acmhainne VPN in ionad [NAS-Aitheantóir].
  Déantar cur síos ar gach paraiméadair féideartha i doiciméadú don mhodúl.

Áiríonn an dara agus an tríú líne fíorú córais ar an logáil isteach, pasfhocal agus cearta úsáideora ar do fhreastalaí mar aon leis an dara fachtóir fíordheimhnithe.

Atosaigh OpenVPN

$ sudo systemctl restart openvpn@server

Socrú cliant

Cuir iarratas ar logáil isteach úsáideora agus pasfhocal sa chomhad cumraíochta cliant

auth-user-pass

Проверка

Seoladh an cliant OpenVPN, ceangail leis an bhfreastalaí, cuir isteach d'ainm úsáideora agus do phasfhocal. Seolfaidh an bot Telegram iarratas rochtana le dhá chnaipe

Ceadaíonn cnaipe amháin rochtain, déanann an dara bloc é.

Anois is féidir leat do phasfhocal a shábháil go sábháilte ar an gcliant; cosnóidh an dara fachtóir do fhreastalaí OpenVPN go hiontaofa ó rochtain neamhúdaraithe.

Mura n-oibríonn rud éigin

Seiceáil go seicheamhach nach bhfuil aon rud caillte agat:

• Tá úsáideoir ar an bhfreastalaí le OpenVPN le sraith phasfhocal
• Tá rochtain ag an bhfreastalaí trí UDP port 1812 chuig an seoladh radius.multifactor.ru
• Sonraítear paraiméadair NAS-Aitheantóir agus Rún Rúnda i gceart
• Cruthaíodh úsáideoir leis an logáil isteach céanna sa chóras Multifactor agus tugadh rochtain dó ar an ngrúpa úsáideoirí VPN
• Tá an modh fíordheimhnithe cumraithe ag an úsáideoir trí Telegram

Mura bhfuil OpenVPN socraithe agat roimhe seo, léigh alt leathnaithe.

Déantar na treoracha le samplaí ar CentOS 7.

Foinse: will.com