ProHoster > Otantifikasyon de faktè nan OpenVPN ak telegram bot

Otantifikasyon de faktè nan OpenVPN ak telegram bot

Atik la dekri mete yon sèvè OpenVPN pou pèmèt otantifikasyon de faktè ak yon bot Telegram ki pral voye yon demann konfimasyon lè w ap konekte.

OpenVPN se yon sèvè VPN ki byen koni, gratis, sous ouvè ki lajman itilize pou òganize aksè an sekirite anplwaye nan resous òganizasyonèl entèn yo.

Kòm otantifikasyon pou konekte ak yon sèvè VPN, anjeneral yo itilize yon konbinezon kle ak login itilizatè / modpas. An menm tan an, modpas ki estoke sou kliyan an vire seri a tout antye nan yon sèl faktè ki pa bay bon nivo sekirite. Yon atakè, li te genyen aksè nan òdinatè kliyan an, genyen tou aksè nan sèvè VPN a. Sa a se laverite espesyalman pou koneksyon soti nan machin ki kouri Windows.

Sèvi ak dezyèm faktè a diminye risk pou aksè san otorizasyon pa 99% epi li pa konplike pwosesis koneksyon an pou itilizatè yo ditou.

Kite m 'fè yon rezèvasyon touswit: pou aplikasyon w ap bezwen konekte yon twazyèm pati otantifikasyon sèvè multifactor.ru, nan ki ou ka itilize yon tarif gratis pou bezwen ou yo.

Prensip de operasyon

  1. OpenVPN itilize plugin openvpn-plugin-auth-pam pou otantifikasyon
  2. Plugin a tcheke modpas itilizatè a sou sèvè a epi li mande dezyèm faktè a atravè pwotokòl RADIUS la nan sèvis Multifactor.
  3. Multifactor voye yon mesaj bay itilizatè a atravè Telegram bot ki konfime aksè
  4. Itilizatè a konfime demann aksè a nan chat Telegram epi li konekte ak VPN la

Enstale yon sèvè OpenVPN

Gen anpil atik sou entènèt la ki dekri pwosesis pou enstale ak konfigirasyon OpenVPN, kidonk nou pa pral kopi yo. Si w bezwen èd, gen plizyè lyen ki mennen nan leson patikilye nan fen atik la.

Mete kanpe multifaktè a

Ale nan Sistèm kontwòl multifaktè, ale nan seksyon "Resous" epi kreye yon nouvo VPN.
Yon fwa kreye, w ap gen de opsyon ki disponib pou ou: NAS-IDantifikatè и Pataje sekrè, yo pral mande pou konfigirasyon ki vin apre.

Otantifikasyon de faktè nan OpenVPN ak telegram bot

Nan seksyon "Gwoups", ale nan paramèt gwoup "Tout itilizatè yo" epi retire drapo "Tout resous" pou sèlman itilizatè yo nan yon gwoup sèten ka konekte ak sèvè VPN la.

Kreye yon nouvo gwoup "Itilizatè VPN", enfim tout metòd otantifikasyon eksepte Telegram epi endike itilizatè yo gen aksè a resous VPN kreye a.

Otantifikasyon de faktè nan OpenVPN ak telegram bot

Nan seksyon "Itilizatè yo", kreye itilizatè ki pral gen aksè a VPN a, ajoute yo nan gwoup "Itilizatè VPN yo" epi voye yo yon lyen pou configure dezyèm faktè otantifikasyon an. Konekte itilizatè a dwe matche ak koneksyon an sou sèvè VPN la.

Otantifikasyon de faktè nan OpenVPN ak telegram bot

Mete kanpe yon sèvè OpenVPN

Louvri fichye a /etc/openvpn/server.conf epi ajoute yon plugin pou otantifikasyon lè l sèvi avèk modil PAM la

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Plugin a ka lokalize nan anyè a /usr/lib/openvpn/plugins/ oswa /usr/lib64/openvpn/plugins/ depann sou sistèm ou an.

Apre sa, ou bezwen enstale modil pam_radius_auth la

$ sudo yum install pam_radius

Louvri fichye a pou koreksyon /etc/pam_radius.conf epi presize adrès sèvè RADIUS Multifaktè a

radius.multifactor.ru   shared_secret   40

kote:

  • radius.multifactor.ru - adrès sèvè
  • shared_secret - kopye paramèt paramèt VPN korespondan an
  • 40 segonn - delè pou tann yon demann ak yon gwo maj

Sèvè ki rete yo dwe efase oswa fè kòmantè soti (mete yon pwen virgul nan kòmansman an)

Apre sa, kreye yon fichye pou sèvis ki kalite openvpn

$ sudo vi /etc/pam.d/openvpn

epi ekri li nan

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Premye liy lan konekte modil PAM pam_radius_auth ak paramèt yo:

  • skip_passwd - enfim transmisyon modpas itilizatè a sou sèvè RADIUS Multifactor (li pa bezwen konnen li).
  • client_id - ranplase [NAS-Identifikatè] ak paramèt ki koresponn lan nan paramèt resous VPN yo.
    Tout paramèt posib yo dekri nan dokiman pou modil la.

Dezyèm ak twazyèm liy yo gen ladan verifikasyon sistèm nan login, modpas ak dwa itilizatè sou sèvè ou ansanm ak yon dezyèm faktè otantifikasyon.

Rekòmanse OpenVPN

$ sudo systemctl restart openvpn@server

Konfigirasyon kliyan an

Mete yon demann pou login itilizatè ak modpas nan dosye konfigirasyon kliyan an

auth-user-pass

Проверка

Lanse kliyan OpenVPN, konekte ak sèvè a, antre non itilizatè ou ak modpas ou. Bot Telegram la pral voye yon demann aksè ak de bouton

Otantifikasyon de faktè nan OpenVPN ak telegram bot

Yon bouton pèmèt aksè, dezyèm lan bloke li.

Koulye a, ou ka san danje sove modpas ou sou kliyan an; dezyèm faktè a pral seryezman pwoteje sèvè OpenVPN ou a kont aksè san otorizasyon.

Si yon bagay pa mache

Sekans tcheke si ou pa rate anyen:

  • Gen yon itilizatè sou sèvè a ak OpenVPN ak yon modpas mete
  • Sèvè a gen aksè atravè pò UDP 1812 nan adrès radius.multifactor.ru
  • NAS-Idantifikatè ak paramèt sekrè pataje yo espesifye kòrèkteman
  • Yon itilizatè ki gen menm koneksyon an te kreye nan sistèm nan Multifactor epi yo te akòde aksè nan gwoup la itilizatè VPN
  • Itilizatè a te configured metòd otantifikasyon an atravè Telegram

Si ou pa te mete sou pye OpenVPN anvan, li atik detaye.

Enstriksyon yo fèt ak egzanp sou CentOS 7.

Sous: www.habr.com

Add nouvo kòmantè