🥇ორფაქტორიანი ავთენტიფიკაცია OpenVPN-ში Telegram ბოტით

სტატიაში აღწერილია OpenVPN სერვერის დაყენება, რათა ჩართოთ ორფაქტორიანი ავტორიზაცია Telegram ბოტით, რომელიც დადასტურების მოთხოვნას გამოგიგზავნით დაკავშირებისთანავე.

OpenVPN არის ცნობილი, უფასო, ღია კოდის VPN სერვერი, რომელიც ფართოდ გამოიყენება თანამშრომლების შიდა ორგანიზაციულ რესურსებზე უსაფრთხო წვდომის ორგანიზებისთვის.

როგორც ავთენტიფიკაცია VPN სერვერთან დასაკავშირებლად, ჩვეულებრივ გამოიყენება გასაღებისა და მომხმარებლის შესვლის/პაროლის კომბინაცია. ამავდროულად, კლიენტზე შენახული პაროლი მთელ კომპლექტს აქცევს ერთ ფაქტორად, რომელიც არ უზრუნველყოფს უსაფრთხოების სათანადო დონეს. თავდამსხმელი, რომელმაც მოიპოვა წვდომა კლიენტის კომპიუტერზე, ასევე იძენს წვდომას VPN სერვერზე. ეს განსაკუთრებით ეხება Windows-ზე გაშვებული მანქანებიდან კავშირებს.

მეორე ფაქტორის გამოყენება 99%-ით ამცირებს არასანქცირებული წვდომის რისკს და საერთოდ არ ართულებს მომხმარებლებს კავშირის პროცესს.

ნება მომეცით დაუყოვნებლივ გავაკეთო დაჯავშნა: განსახორციელებლად, თქვენ უნდა დააკავშიროთ მესამე მხარის ავტორიზაციის სერვერი multifactor.ru, რომელშიც შეგიძლიათ გამოიყენოთ უფასო ტარიფი თქვენი საჭიროებისთვის.

პრინციპი ოპერაციის

OpenVPN იყენებს openvpn-plugin-auth-pam დანამატს ავტორიზაციისთვის
მოდული ამოწმებს მომხმარებლის პაროლს სერვერზე და ითხოვს მეორე ფაქტორს RADIUS პროტოკოლის მეშვეობით Multifactor სერვისში.
Multifactor უგზავნის მომხმარებელს შეტყობინებას Telegram-ის ბოტის საშუალებით, რომელიც ადასტურებს წვდომას
მომხმარებელი ადასტურებს წვდომის მოთხოვნას Telegram ჩატში და უერთდება VPN-ს

OpenVPN სერვერის ინსტალაცია

ინტერნეტში ბევრი სტატიაა, რომელიც აღწერს OpenVPN-ის ინსტალაციისა და კონფიგურაციის პროცესს, ამიტომ ჩვენ მათ არ გავამეორებთ. თუ დახმარება გჭირდებათ, სტატიის ბოლოს არის გაკვეთილების რამდენიმე ბმული.

მულტიფაქტორის დაყენება

Წადი მრავალფაქტორიანი კონტროლის სისტემა, გადადით "რესურსების" განყოფილებაში და შექმენით ახალი VPN.
შექმნის შემდეგ, თქვენ გექნებათ ორი ვარიანტი ხელმისაწვდომი: NAS-იდენტიფიკატორი и საერთო საიდუმლო, ისინი საჭირო იქნება შემდგომი კონფიგურაციისთვის.

"ჯგუფების" განყოფილებაში გადადით "ყველა მომხმარებლის" ჯგუფის პარამეტრებში და წაშალეთ "ყველა რესურსის" დროშა, რათა VPN სერვერთან დაკავშირება მხოლოდ გარკვეული ჯგუფის მომხმარებლებს შეეძლოთ.

შექმენით ახალი ჯგუფი "VPN მომხმარებლები", გამორთეთ ავთენტიფიკაციის ყველა მეთოდი, გარდა Telegram-ისა და მიუთითეთ, რომ მომხმარებლებს აქვთ წვდომა შექმნილ VPN რესურსზე.

"მომხმარებლების" განყოფილებაში შექმენით მომხმარებლები, რომლებსაც ექნებათ წვდომა VPN-ზე, დაამატეთ ისინი "VPN მომხმარებლები" ჯგუფში და გაუგზავნეთ ბმული ავტორიზაციის მეორე ფაქტორის კონფიგურაციისთვის. მომხმარებლის შესვლა უნდა ემთხვეოდეს შესვლას VPN სერვერზე.

OpenVPN სერვერის დაყენება

გახსენით ფაილი /etc/openvpn/server.conf და დაამატეთ ავთენტიფიკაციის მოდული PAM მოდულის გამოყენებით

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

მოდული შეიძლება განთავსდეს დირექტორიაში /usr/lib/openvpn/plugins/ ან /usr/lib64/openvpn/plugins/ თქვენი სისტემის მიხედვით.

შემდეგ თქვენ უნდა დააინსტალიროთ pam_radius_auth მოდული

$ sudo yum install pam_radius

გახსენით ფაილი რედაქტირებისთვის /etc/pam_radius.conf და მიუთითეთ Multifactor-ის RADIUS სერვერის მისამართი

radius.multifactor.ru   shared_secret   40

სადაც:

radius.multifactor.ru — სერვერის მისამართი
shared_secret - დააკოპირეთ VPN პარამეტრების შესაბამისი პარამეტრიდან
40 წამი - დიდი ზღვრით მოთხოვნის მოლოდინის დრო

დარჩენილი სერვერები უნდა წაიშალოს ან კომენტარი გააკეთოს (დასვით მძიმით დასაწყისში)

შემდეგი, შექმენით ფაილი სერვისის ტიპის openvpn-სთვის

$ sudo vi /etc/pam.d/openvpn

და ჩაწერეთ

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

პირველი ხაზი აკავშირებს PAM მოდულს pam_radius_auth პარამეტრებთან:

skip_passwd - გამორთავს მომხმარებლის პაროლის გადაცემას RADIUS Multifactor სერვერზე (მას ამის ცოდნა არ სჭირდება).
client_id — შეცვალეთ [NAS-Identifier] შესაბამისი პარამეტრით VPN რესურსის პარამეტრებიდან.
ყველა შესაძლო პარამეტრი აღწერილია მოდულის დოკუმენტაცია.

მეორე და მესამე სტრიქონები მოიცავს თქვენს სერვერზე შესვლის, პაროლის და მომხმარებლის უფლებების სისტემურ გადამოწმებას და მეორე ავტორიზაციის ფაქტორს.

გადატვირთეთ OpenVPN

$ sudo systemctl restart openvpn@server

კლიენტის დაყენება

შეიტანეთ მოთხოვნა მომხმარებლის შესვლისა და პაროლის შესახებ კლიენტის კონფიგურაციის ფაილში

auth-user-pass

Проверка

გაუშვით OpenVPN კლიენტი, დაუკავშირდით სერვერს, შეიყვანეთ თქვენი მომხმარებლის სახელი და პაროლი. Telegram ბოტი მიიღებს წვდომის მოთხოვნას ორი ღილაკით

ერთი ღილაკი წვდომის საშუალებას იძლევა, მეორე ბლოკავს მას.

ახლა თქვენ შეგიძლიათ უსაფრთხოდ შეინახოთ თქვენი პაროლი კლიენტზე; მეორე ფაქტორი საიმედოდ დაიცავს თქვენს OpenVPN სერვერს არაავტორიზებული წვდომისგან.

თუ რამე არ მუშაობს

თანმიმდევრულად შეამოწმეთ, რომ არაფერი გამოგრჩეთ:

სერვერზე არის მომხმარებელი OpenVPN-ით, პაროლის ნაკრებით
სერვერს აქვს წვდომა UDP პორტის მეშვეობით 1812 მისამართზე radius.multifactor.ru
NAS-Identifier და Shared Secret პარამეტრები მითითებულია სწორად
მულტიფაქტორების სისტემაში შეიქმნა იგივე შესვლის მომხმარებელი და მინიჭებული აქვს VPN მომხმარებელთა ჯგუფზე წვდომა.
მომხმარებელმა დააკონფიგურირა ავთენტიფიკაციის მეთოდი Telegram-ის საშუალებით

თუ ადრე არ დაგიყენებიათ OpenVPN, წაიკითხეთ დეტალური სტატია.

ინსტრუქციები დამზადებულია მაგალითებით CentOS 7-ზე.

წყარო: www.habr.com

ორფაქტორიანი ავთენტიფიკაცია OpenVPN-ში Telegram ბოტით