🥇 Telegram bot સાથે OpenVPN માં બે-પરિબળ પ્રમાણીકરણ

લેખ ટેલિગ્રામ બૉટ સાથે બે-પરિબળ પ્રમાણીકરણને સક્ષમ કરવા માટે OpenVPN સર્વરને સેટ કરવાનું વર્ણન કરે છે જે કનેક્ટ કરતી વખતે પુષ્ટિકરણ વિનંતી મોકલશે.

OpenVPN એ જાણીતું, મફત, ઓપન સોર્સ VPN સર્વર છે જેનો ઉપયોગ આંતરિક સંસ્થાકીય સંસાધનોની સુરક્ષિત કર્મચારી ઍક્સેસને ગોઠવવા માટે વ્યાપકપણે થાય છે.

VPN સર્વર સાથે જોડાવા માટે પ્રમાણીકરણ તરીકે, કી અને વપરાશકર્તા લોગિન/પાસવર્ડનું સંયોજન સામાન્ય રીતે ઉપયોગમાં લેવાય છે. તે જ સમયે, ક્લાયંટ પર સંગ્રહિત પાસવર્ડ સમગ્ર સેટને એક પરિબળમાં ફેરવે છે જે યોગ્ય સ્તરની સુરક્ષા પ્રદાન કરતું નથી. હુમલાખોર, ક્લાયંટ કોમ્પ્યુટરની ઍક્સેસ મેળવીને, VPN સર્વરની ઍક્સેસ પણ મેળવે છે. આ ખાસ કરીને વિન્ડોઝ ચલાવતા મશીનોના જોડાણો માટે સાચું છે.

બીજા પરિબળનો ઉપયોગ કરવાથી અનધિકૃત ઍક્સેસનું જોખમ 99% ઓછું થાય છે અને વપરાશકર્તાઓ માટે કનેક્શન પ્રક્રિયાને જટિલ બનાવતી નથી.

મને તરત જ આરક્ષણ કરવા દો: અમલીકરણ માટે તમારે તૃતીય-પક્ષ પ્રમાણીકરણ સર્વર multifactor.ru કનેક્ટ કરવાની જરૂર પડશે, જેમાં તમે તમારી જરૂરિયાતો માટે મફત ટેરિફનો ઉપયોગ કરી શકો છો.

તે કેવી રીતે કામ કરે છે

OpenVPN પ્રમાણીકરણ માટે openvpn-plugin-auth-pam પ્લગઇનનો ઉપયોગ કરે છે
પ્લગઇન સર્વર પર વપરાશકર્તાનો પાસવર્ડ તપાસે છે અને મલ્ટીફેક્ટર સેવામાં RADIUS પ્રોટોકોલ દ્વારા બીજા પરિબળની વિનંતી કરે છે.
મલ્ટિફેક્ટર ટેલિગ્રામ બોટ દ્વારા વપરાશની પુષ્ટિ કરતા વપરાશકર્તાને સંદેશ મોકલે છે
વપરાશકર્તા ટેલિગ્રામ ચેટમાં ઍક્સેસ વિનંતીની પુષ્ટિ કરે છે અને VPN સાથે જોડાય છે

OpenVPN સર્વર ઇન્સ્ટોલ કરી રહ્યું છે

ઈન્ટરનેટ પર ઘણા લેખો છે જે OpenVPN ને ઇન્સ્ટોલ અને ગોઠવવાની પ્રક્રિયાનું વર્ણન કરે છે, તેથી અમે તેને ડુપ્લિકેટ કરીશું નહીં. જો તમને મદદની જરૂર હોય, તો લેખના અંતે ટ્યુટોરિયલ્સની ઘણી લિંક્સ છે.

મલ્ટિફેક્ટર સુયોજિત કરી રહ્યા છીએ

પર જાઓ મલ્ટિફેક્ટર કંટ્રોલ સિસ્ટમ, "સંસાધન" વિભાગ પર જાઓ અને નવું VPN બનાવો.
એકવાર બનાવ્યા પછી, તમારી પાસે તમારા માટે બે વિકલ્પો ઉપલબ્ધ હશે: NAS-આઇડેન્ટિફાયર и વહેંચાયેલું રહસ્ય, તેઓ અનુગામી રૂપરેખાંકન માટે જરૂરી રહેશે.

"જૂથો" વિભાગમાં, "બધા વપરાશકર્તાઓ" જૂથ સેટિંગ્સ પર જાઓ અને "બધા સંસાધનો" ફ્લેગને દૂર કરો જેથી કરીને ફક્ત ચોક્કસ જૂથના વપરાશકર્તાઓ જ VPN સર્વર સાથે કનેક્ટ થઈ શકે.

એક નવું જૂથ "VPN વપરાશકર્તાઓ" બનાવો, ટેલિગ્રામ સિવાયની તમામ પ્રમાણીકરણ પદ્ધતિઓ અક્ષમ કરો અને સૂચવે છે કે વપરાશકર્તાઓને બનાવેલ VPN સંસાધનની ઍક્સેસ છે.

"વપરાશકર્તાઓ" વિભાગમાં, એવા વપરાશકર્તાઓ બનાવો કે જેમની પાસે VPN ની ઍક્સેસ હશે, તેમને "VPN વપરાશકર્તાઓ" જૂથમાં ઉમેરો અને પ્રમાણીકરણના બીજા પરિબળને ગોઠવવા માટે તેમને એક લિંક મોકલો. વપરાશકર્તા લૉગિન VPN સર્વર પરના લૉગિન સાથે મેળ ખાતું હોવું જોઈએ.

એક OpenVPN સર્વર સેટ કરી રહ્યું છે

ફાઈલ ખોલો /etc/openvpn/server.conf અને PAM મોડ્યુલનો ઉપયોગ કરીને પ્રમાણીકરણ માટે પ્લગઇન ઉમેરો

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

પ્લગઇન ડિરેક્ટરીમાં સ્થિત કરી શકાય છે /usr/lib/openvpn/plugins/ અથવા /usr/lib64/openvpn/plugins/ તમારી સિસ્ટમ પર આધાર રાખીને.

આગળ તમારે pam_radius_auth મોડ્યુલ ઇન્સ્ટોલ કરવાની જરૂર છે

$ sudo yum install pam_radius

સંપાદન માટે ફાઇલ ખોલો /etc/pam_radius.conf અને મલ્ટિફેક્ટરના RADIUS સર્વરનું સરનામું સ્પષ્ટ કરો

radius.multifactor.ru   shared_secret   40

ક્યાં:

radius.multifactor.ru — સર્વર સરનામું
shared_secret - અનુરૂપ VPN સેટિંગ્સ પરિમાણમાંથી નકલ
40 સેકન્ડ - મોટા માર્જિન સાથે વિનંતીની રાહ જોવા માટે સમયસમાપ્તિ

બાકીના સર્વર્સ કાઢી નાખવા અથવા ટિપ્પણી કરવા આવશ્યક છે (શરૂઆતમાં અર્ધવિરામ મૂકો)

આગળ, સેવા-પ્રકાર openvpn માટે ફાઇલ બનાવો

$ sudo vi /etc/pam.d/openvpn

અને તેમાં લખો

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

પ્રથમ લીટી PAM મોડ્યુલ pam_radius_auth ને પરિમાણો સાથે જોડે છે:

skip_passwd - RADIUS Multifactor સર્વર પર વપરાશકર્તાના પાસવર્ડના ટ્રાન્સમિશનને અક્ષમ કરે છે (તેને તે જાણવાની જરૂર નથી).
client_id — VPN સંસાધન સેટિંગ્સમાંથી અનુરૂપ પરિમાણ સાથે [NAS-Identifier] ને બદલો.
બધા સંભવિત પરિમાણોમાં વર્ણવેલ છે મોડ્યુલ માટે દસ્તાવેજીકરણ.

બીજી અને ત્રીજી લાઇનમાં બીજા પ્રમાણીકરણ પરિબળ સાથે તમારા સર્વર પર લોગિન, પાસવર્ડ અને વપરાશકર્તા અધિકારોની સિસ્ટમ ચકાસણીનો સમાવેશ થાય છે.

OpenVPN પુનઃપ્રારંભ કરો

$ sudo systemctl restart openvpn@server

ક્લાયંટ સેટઅપ

ક્લાયંટ રૂપરેખાંકન ફાઇલમાં વપરાશકર્તા લોગિન અને પાસવર્ડ માટે વિનંતી શામેલ કરો

auth-user-pass

નિરીક્ષણ

OpenVPN ક્લાયંટ લોંચ કરો, સર્વર સાથે કનેક્ટ કરો, તમારું વપરાશકર્તા નામ અને પાસવર્ડ દાખલ કરો. ટેલિગ્રામ બોટ બે બટનો સાથે ઍક્સેસ વિનંતી મોકલશે

એક બટન ઍક્સેસની મંજૂરી આપે છે, બીજું તેને અવરોધે છે.

હવે તમે ક્લાયંટ પર તમારો પાસવર્ડ સુરક્ષિત રીતે સાચવી શકો છો; બીજું પરિબળ તમારા OpenVPN સર્વરને અનધિકૃત ઍક્સેસથી વિશ્વસનીય રીતે સુરક્ષિત કરશે.

જો કંઈક કામ કરતું નથી

ક્રમિક રીતે તપાસો કે તમે કંઈપણ ચૂકી નથી ગયા:

પાસવર્ડ સેટ સાથે OpenVPN સાથે સર્વર પર એક વપરાશકર્તા છે
સર્વર પાસે UDP પોર્ટ 1812 મારફતે radius.multifactor.ru સરનામાંની ઍક્સેસ છે.
NAS-આઇડેન્ટિફાયર અને શેર્ડ સિક્રેટ પેરામીટર યોગ્ય રીતે ઉલ્લેખિત છે
મલ્ટિફેક્ટર સિસ્ટમમાં સમાન લૉગિન સાથેનો વપરાશકર્તા બનાવવામાં આવ્યો છે અને તેને VPN વપરાશકર્તા જૂથની ઍક્સેસ આપવામાં આવી છે.
વપરાશકર્તાએ ટેલિગ્રામ દ્વારા પ્રમાણીકરણ પદ્ધતિને ગોઠવી છે

જો તમે પહેલા OpenVPN સેટ કર્યું નથી, તો વાંચો વિગતવાર લેખ.

સૂચનાઓ CentOS 7 પર ઉદાહરણો સાથે બનાવવામાં આવી છે.

સોર્સ: www.habr.com

ટેલિગ્રામ બોટ સાથે OpenVPN માં દ્વિ-પરિબળ પ્રમાણીકરણ