🥇אימות דו-גורמי ב-OpenVPN עם בוט טלגרם

המאמר מתאר הגדרת שרת OpenVPN כדי לאפשר אימות דו-גורמי עם בוט של טלגרם שישלח בקשת אישור בעת החיבור.

OpenVPN הוא שרת VPN ידוע, חינמי, בקוד פתוח, שנמצא בשימוש נרחב לארגון גישת עובדים מאובטחת למשאבים פנים ארגוניים.

כאימות לחיבור לשרת VPN, נעשה בדרך כלל שימוש בשילוב של מפתח וכניסה/סיסמה של המשתמש. יחד עם זאת, הסיסמה המאוחסנת בלקוח הופכת את כל הסט לגורם יחיד שאינו מספק את רמת האבטחה הראויה. תוקף, לאחר שהשיג גישה למחשב הלקוח, מקבל גם גישה לשרת ה-VPN. זה נכון במיוחד עבור חיבורים ממכונות המריצים Windows.

שימוש בגורם השני מפחית את הסיכון לגישה לא מורשית ב-99% ואינו מסבך כלל את תהליך החיבור למשתמשים.

הרשו לי לבצע הזמנה מיד: ליישום תצטרך לחבר שרת אימות של צד שלישי multifactor.ru, שבו תוכל להשתמש בתעריף חינם לצרכים שלך.

עיקרון הפעולה

OpenVPN משתמש בתוסף openvpn-plugin-auth-pam לצורך אימות
התוסף בודק את סיסמת המשתמש בשרת ומבקש את הגורם השני באמצעות פרוטוקול RADIUS בשירות Multifactor
Multifactor שולח הודעה למשתמש באמצעות בוט טלגרם המאשרת גישה
המשתמש מאשר את בקשת הגישה בצ'אט של טלגרם ומתחבר ל-VPN

התקנת שרת OpenVPN

ישנם מאמרים רבים באינטרנט המתארים את תהליך ההתקנה וההגדרה של OpenVPN, כך שלא נשכפל אותם. אם אתה צריך עזרה, יש כמה קישורים להדרכות בסוף המאמר.

הגדרת Multifactor

לך ל מערכת בקרה רב-גורמית, עבור אל הקטע "משאבים" וצור VPN חדש.
לאחר היצירה, יהיו לך שתי אפשרויות זמינות עבורך: NAS-מזהה и סוד משותף, הם יידרשו לתצורה הבאה.

בסעיף "קבוצות", עבור להגדרות הקבוצה "כל המשתמשים" והסר את הדגל "כל המשאבים" כך שרק משתמשים מקבוצה מסוימת יוכלו להתחבר לשרת ה-VPN.

צור קבוצה חדשה "משתמשי VPN", השבת את כל שיטות האימות פרט לטלגרם וציין שלמשתמשים יש גישה למשאב ה-VPN שנוצר.

בקטע "משתמשים", צור משתמשים שתהיה להם גישה ל-VPN, הוסף אותם לקבוצת "משתמשי VPN" ושלח להם קישור להגדרת גורם האימות השני. כניסת המשתמש חייבת להתאים לכניסה בשרת ה-VPN.

הגדרת שרת OpenVPN

פתח את הקובץ /etc/openvpn/server.conf ולהוסיף תוסף לאימות באמצעות מודול PAM

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

התוסף יכול להיות ממוקם בספרייה /usr/lib/openvpn/plugins/ או /usr/lib64/openvpn/plugins/ בהתאם למערכת שלך.

בשלב הבא עליך להתקין את מודול pam_radius_auth

$ sudo yum install pam_radius

פתח את הקובץ לעריכה /etc/pam_radius.conf וציין את הכתובת של שרת ה-RADIUS של ה-Multifactor

radius.multifactor.ru   shared_secret   40

שם:

radius.multifactor.ru - כתובת שרת
shared_secret - העתק מפרמטר הגדרות ה-VPN המתאים
40 שניות - פסק זמן להמתנה לבקשה עם מרווח גדול

יש למחוק את השרתים הנותרים או להגיב (שים נקודה-פסיק בהתחלה)

לאחר מכן, צור קובץ עבור openvpn מסוג service

$ sudo vi /etc/pam.d/openvpn

ותכתוב את זה

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

השורה הראשונה מחברת את מודול PAM pam_radius_auth עם הפרמטרים:

skip_passwd - משבית את העברת הסיסמה של המשתמש לשרת RADIUS Multifactor (הוא לא צריך לדעת את זה).
client_id - החלף את [NAS-Identifier] בפרמטר המתאים מהגדרות משאב ה-VPN.
כל הפרמטרים האפשריים מתוארים ב תיעוד עבור המודול.

השורה השנייה והשלישית כוללות אימות מערכת של הכניסה, הסיסמה וזכויות המשתמש בשרת שלך יחד עם גורם אימות שני.

הפעל מחדש את OpenVPN

$ sudo systemctl restart openvpn@server

הגדרת לקוח

כלול בקשה להתחברות משתמש וסיסמה בקובץ התצורה של הלקוח

auth-user-pass

Проверка

הפעל את לקוח OpenVPN, התחבר לשרת, הזן את שם המשתמש והסיסמה שלך. הבוט של הטלגרם ישלח בקשת גישה עם שני כפתורים

כפתור אחד מאפשר גישה, השני חוסם אותה.

כעת אתה יכול לשמור את הסיסמה שלך בבטחה בלקוח; הגורם השני יגן בצורה מהימנה על שרת OpenVPN שלך מפני גישה לא מורשית.

אם משהו לא עובד

בדוק ברצף שלא פספסת שום דבר:

יש משתמש בשרת עם OpenVPN עם סיסמה מוגדרת
לשרת יש גישה דרך יציאת UDP 1812 לכתובת radius.multifactor.ru
הפרמטרים NAS-Identifier ו-Shared Secret מוגדרים כהלכה
משתמש עם אותו כניסה נוצר במערכת Multifactor וקיבל גישה לקבוצת המשתמשים של VPN
המשתמש הגדיר את שיטת האימות באמצעות טלגרם

אם לא הגדרת את OpenVPN לפני כן, קרא מאמר מפורט.

ההוראות מבוצעות עם דוגמאות על CentOS 7.

מקור: www.habr.com

אימות דו-גורמי ב-OpenVPN עם בוט טלגרם