ProHoster > Tveggja þátta auðkenning í OpenVPN með Telegram láni
Tveggja þátta auðkenning í OpenVPN með Telegram láni
Greinin lýsir því að setja upp OpenVPN netþjón til að virkja tvíþætta auðkenningu með Telegram láni sem mun senda staðfestingarbeiðni við tengingu.
OpenVPN er vel þekktur, ókeypis, opinn VPN netþjónn sem er mikið notaður til að skipuleggja öruggan aðgang starfsmanna að innri skipulagsauðlindum.
Sem auðkenning fyrir tengingu við VPN netþjón er venjulega notuð samsetning af lykli og notandanafn/lykilorði. Á sama tíma breytir lykilorðið sem er geymt á viðskiptavininum öllu settinu í einn þátt sem veitir ekki viðeigandi öryggisstig. Árásarmaður, sem hefur fengið aðgang að tölvu viðskiptavinar, fær einnig aðgang að VPN netþjóninum. Þetta á sérstaklega við um tengingar frá vélum sem keyra Windows.
Notkun seinni þáttarins dregur úr hættu á óviðkomandi aðgangi um 99% og flækir alls ekki tengingarferlið fyrir notendur.
Leyfðu mér að panta strax: fyrir framkvæmd þarftu að tengja þriðja aðila auðkenningarþjón multifactor.ru, þar sem þú getur notað ókeypis gjaldskrá fyrir þarfir þínar.
Meginreglan um rekstur
OpenVPN notar openvpn-plugin-auth-pam viðbótina fyrir auðkenningu
Viðbótin athugar lykilorð notandans á þjóninum og biður um seinni þáttinn í gegnum RADIUS samskiptareglur í Multifactor þjónustunni
Multifactor sendir skilaboð til notandans í gegnum Telegram láni sem staðfestir aðgang
Notandinn staðfestir aðgangsbeiðnina í Telegram spjallinu og tengist VPN
Að setja upp OpenVPN netþjón
Það eru margar greinar á netinu sem lýsa ferlinu við að setja upp og stilla OpenVPN, svo við munum ekki afrita þær. Ef þú þarft hjálp, þá eru nokkrir tenglar á kennsluefni í lok greinarinnar.
Setja upp Multifactor
Fara til Fjölþátta stjórnkerfi, farðu í hlutann „Auðlindir“ og búðu til nýtt VPN.
Þegar búið er að búa til, muntu hafa tvo valkosti í boði fyrir þig: NAS-auðkenni и Sameiginlegt leyndarmál, þeir verða nauðsynlegir fyrir síðari uppsetningu.
Í hlutanum „Hópar“, farðu í hópstillingarnar „Allir notendur“ og fjarlægðu „Allar auðlindir“ fána svo aðeins notendur ákveðins hóps geti tengst VPN netþjóninum.
Búðu til nýjan hóp „VPN notendur“, slökktu á öllum auðkenningaraðferðum nema Telegram og gefðu til kynna að notendur hafi aðgang að stofnuðu VPN auðlindinni.
Í hlutanum „Notendur“ skaltu búa til notendur sem munu hafa aðgang að VPN, bæta þeim við hópinn „VPN notendur“ og senda þeim tengil til að stilla annan auðkenningarstuðul. Innskráning notanda verður að passa við innskráningu á VPN netþjóninum.
Að setja upp OpenVPN netþjón
Opnaðu skrána /etc/openvpn/server.conf og bættu við viðbót fyrir auðkenningu með PAM einingunni
Fyrsta línan tengir PAM eininguna pam_radius_auth við færibreyturnar:
skip_passwd - slekkur á sendingu lykilorðs notandans til RADIUS Multifactor miðlarans (hann þarf ekki að vita það).
client_id — skiptu [NAS-auðkenni] út fyrir samsvarandi færibreytu úr VPN auðlindastillingunum.
Öllum mögulegum breytum er lýst í skjöl fyrir eininguna.
Önnur og þriðja línan felur í sér kerfisstaðfestingu á innskráningu, lykilorði og notendaréttindum á netþjóninum þínum ásamt öðrum auðkenningarstuðli.
Endurræstu OpenVPN
$ sudo systemctl restart openvpn@server
Uppsetning viðskiptavinar
Láttu beiðni um notandainnskráningu og lykilorð fylgja með í stillingarskrá viðskiptavinarins
auth-user-pass
Проверка
Ræstu OpenVPN biðlarann, tengdu við netþjóninn, sláðu inn notandanafn og lykilorð. Telegram láni mun senda aðgangsbeiðni með tveimur hnöppum
Einn hnappur veitir aðgang, sá annar lokar fyrir hann.
Nú geturðu örugglega vistað lykilorðið þitt á viðskiptavininum; seinni þátturinn mun vernda OpenVPN netþjóninn þinn á áreiðanlegan hátt gegn óviðkomandi aðgangi.
Ef eitthvað virkar ekki
Athugaðu í röð hvort þú hafir ekki misst af neinu:
Það er notandi á þjóninum með OpenVPN með lykilorð sett
Miðlarinn hefur aðgang í gegnum UDP tengi 1812 að heimilisfanginu radius.multifactor.ru
NAS-auðkenni og Shared Secret færibreytur eru rétt tilgreindar
Notandi með sömu innskráningu hefur verið búinn til í Multifactor kerfinu og hefur hann fengið aðgang að VPN notendahópnum
Notandinn hefur stillt auðkenningaraðferðina í gegnum Telegram
Ef þú hefur ekki sett upp OpenVPN áður, lestu ítarlegri grein.