Tveggja þátta auðkenning í OpenVPN með Telegram láni

Greinin lýsir því að setja upp OpenVPN netþjón til að virkja tvíþætta auðkenningu með Telegram láni sem mun senda staðfestingarbeiðni við tengingu.

OpenVPN er vel þekktur, ókeypis, opinn VPN netþjónn sem er mikið notaður til að skipuleggja öruggan aðgang starfsmanna að innri skipulagsauðlindum.

Sem auðkenning fyrir tengingu við VPN netþjón er venjulega notuð samsetning af lykli og notandanafn/lykilorði. Á sama tíma breytir lykilorðið sem er geymt á viðskiptavininum öllu settinu í einn þátt sem veitir ekki viðeigandi öryggisstig. Árásarmaður, sem hefur fengið aðgang að tölvu viðskiptavinar, fær einnig aðgang að VPN netþjóninum. Þetta á sérstaklega við um tengingar frá vélum sem keyra Windows.

Notkun seinni þáttarins dregur úr hættu á óviðkomandi aðgangi um 99% og flækir alls ekki tengingarferlið fyrir notendur.

Leyfðu mér að panta strax: fyrir framkvæmd þarftu að tengja þriðja aðila auðkenningarþjón multifactor.ru, þar sem þú getur notað ókeypis gjaldskrá fyrir þarfir þínar.

Meginreglan um rekstur

1. OpenVPN notar openvpn-plugin-auth-pam viðbótina fyrir auðkenningu
2. Viðbótin athugar lykilorð notandans á þjóninum og biður um seinni þáttinn í gegnum RADIUS samskiptareglur í Multifactor þjónustunni
3. Multifactor sendir skilaboð til notandans í gegnum Telegram láni sem staðfestir aðgang
4. Notandinn staðfestir aðgangsbeiðnina í Telegram spjallinu og tengist VPN

Að setja upp OpenVPN netþjón

Það eru margar greinar á netinu sem lýsa ferlinu við að setja upp og stilla OpenVPN, svo við munum ekki afrita þær. Ef þú þarft hjálp, þá eru nokkrir tenglar á kennsluefni í lok greinarinnar.

Setja upp Multifactor

Fara til Fjölþátta stjórnkerfi, farðu í hlutann „Auðlindir“ og búðu til nýtt VPN.
Þegar búið er að búa til, muntu hafa tvo valkosti í boði fyrir þig: NAS-auðkenni и Sameiginlegt leyndarmál, þeir verða nauðsynlegir fyrir síðari uppsetningu.

Í hlutanum „Hópar“, farðu í hópstillingarnar „Allir notendur“ og fjarlægðu „Allar auðlindir“ fána svo aðeins notendur ákveðins hóps geti tengst VPN netþjóninum.

Búðu til nýjan hóp „VPN notendur“, slökktu á öllum auðkenningaraðferðum nema Telegram og gefðu til kynna að notendur hafi aðgang að stofnuðu VPN auðlindinni.

Í hlutanum „Notendur“ skaltu búa til notendur sem munu hafa aðgang að VPN, bæta þeim við hópinn „VPN notendur“ og senda þeim tengil til að stilla annan auðkenningarstuðul. Innskráning notanda verður að passa við innskráningu á VPN netþjóninum.

Að setja upp OpenVPN netþjón

Opnaðu skrána /etc/openvpn/server.conf og bættu við viðbót fyrir auðkenningu með PAM einingunni

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Viðbótin er hægt að finna í möppunni /usr/lib/openvpn/plugins/ eða /usr/lib64/openvpn/plugins/ eftir kerfinu þínu.

Næst þarftu að setja upp pam_radius_auth eininguna

$ sudo yum install pam_radius

Opnaðu skrána til að breyta /etc/pam_radius.conf og tilgreindu heimilisfang RADIUS miðlara Multifactor

radius.multifactor.ru   shared_secret   40

þar sem:

• radius.multifactor.ru — vistfang netþjóns
• shared_secret - afritaðu úr samsvarandi VPN stillingarfæribreytu
• 40 sekúndur - tími til að bíða eftir beiðni með mikilli framlegð

Eyða verður þeim þjónum sem eftir eru eða skrifa athugasemdir (settu semíkommu í byrjun)

Næst skaltu búa til skrá fyrir þjónustutegund openvpn

$ sudo vi /etc/pam.d/openvpn

og skrifa það inn

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Fyrsta línan tengir PAM eininguna pam_radius_auth við færibreyturnar:

• skip_passwd - slekkur á sendingu lykilorðs notandans til RADIUS Multifactor miðlarans (hann þarf ekki að vita það).
• client_id — skiptu [NAS-auðkenni] út fyrir samsvarandi færibreytu úr VPN auðlindastillingunum.
  Öllum mögulegum breytum er lýst í skjöl fyrir eininguna.

Önnur og þriðja línan felur í sér kerfisstaðfestingu á innskráningu, lykilorði og notendaréttindum á netþjóninum þínum ásamt öðrum auðkenningarstuðli.

Endurræstu OpenVPN

$ sudo systemctl restart openvpn@server

Uppsetning viðskiptavinar

Láttu beiðni um notandainnskráningu og lykilorð fylgja með í stillingarskrá viðskiptavinarins

auth-user-pass

Проверка

Ræstu OpenVPN biðlarann, tengdu við netþjóninn, sláðu inn notandanafn og lykilorð. Telegram láni mun senda aðgangsbeiðni með tveimur hnöppum

Einn hnappur veitir aðgang, sá annar lokar fyrir hann.

Nú geturðu örugglega vistað lykilorðið þitt á viðskiptavininum; seinni þátturinn mun vernda OpenVPN netþjóninn þinn á áreiðanlegan hátt gegn óviðkomandi aðgangi.

Ef eitthvað virkar ekki

Athugaðu í röð hvort þú hafir ekki misst af neinu:

• Það er notandi á þjóninum með OpenVPN með lykilorð sett
• Miðlarinn hefur aðgang í gegnum UDP tengi 1812 að heimilisfanginu radius.multifactor.ru
• NAS-auðkenni og Shared Secret færibreytur eru rétt tilgreindar
• Notandi með sömu innskráningu hefur verið búinn til í Multifactor kerfinu og hefur hann fengið aðgang að VPN notendahópnum
• Notandinn hefur stillt auðkenningaraðferðina í gegnum Telegram

Ef þú hefur ekki sett upp OpenVPN áður, lestu ítarlegri grein.

Leiðbeiningarnar eru gerðar með dæmum á CentOS 7.

Heimild: www.habr.com