ProHoster > Telegram боты арқылы OpenVPN-де екі факторлы аутентификация
Telegram боты арқылы OpenVPN-де екі факторлы аутентификация
Мақалада қосылу кезінде растау сұрауын жіберетін Telegram боты арқылы екі факторлы аутентификацияны қосу үшін OpenVPN серверін орнату сипатталған.
OpenVPN — белгілі, тегін, ашық бастапқы VPN сервері, ол қызметкерлердің ішкі ұйымдық ресурстарға қауіпсіз қол жеткізуін ұйымдастыру үшін кеңінен қолданылады.
VPN серверіне қосылу үшін аутентификация ретінде әдетте кілт пен пайдаланушы логин/пароль тіркесімі пайдаланылады. Бұл ретте клиентте сақталған құпия сөз барлық жиынтықты қауіпсіздіктің тиісті деңгейін қамтамасыз етпейтін бір факторға айналдырады. Клиенттік компьютерге қол жеткізген шабуылдаушы VPN серверіне де қол жеткізе алады. Бұл әсіресе Windows жүйесімен жұмыс істейтін машиналардан қосылымдарға қатысты.
Екінші факторды пайдалану рұқсатсыз кіру қаупін 99% төмендетеді және пайдаланушылар үшін қосылу процесін мүлде қиындатпайды.
Бірден брондау жасауға рұқсат етіңіз: іске асыру үшін сізге multifactor.ru үшінші тарап аутентификация серверін қосу керек, онда сіз өз қажеттіліктеріңіз үшін тегін тарифті пайдалана аласыз.
Жұмыс принципі
OpenVPN аутентификация үшін openvpn-plugin-auth-pam плагинін пайдаланады
Плагин сервердегі пайдаланушының құпия сөзін тексереді және Multifactor қызметіндегі RADIUS протоколы арқылы екінші факторды сұрайды.
Multifactor пайдаланушыға Telegram боты арқылы қол жеткізуді растайтын хабарлама жібереді
Пайдаланушы Telegram чатында рұқсат сұрауын растайды және VPN желісіне қосылады
OpenVPN серверін орнату
Интернетте OpenVPN орнату және конфигурациялау процесін сипаттайтын көптеген мақалалар бар, сондықтан біз оларды қайталамаймыз. Егер сізге көмек қажет болса, мақаланың соңында оқулықтарға бірнеше сілтемелер бар.
Мультифакторды орнату
Өту Көп факторлы басқару жүйесі, «Ресурстар» бөліміне өтіп, жаңа VPN жасаңыз.
Жасалғаннан кейін сізде екі нұсқа болады: NAS-идентификатор и Ортақ құпия, олар келесі конфигурация үшін қажет болады.
«Топтар» бөлімінде «Барлық пайдаланушылар» тобының параметрлеріне өтіп, VPN серверіне белгілі бір топтың пайдаланушылары ғана қосыла алатындай «Барлық ресурстар» жалаушасын алып тастаңыз.
Жаңа «VPN пайдаланушылары» тобын жасаңыз, Telegram-дан басқа барлық аутентификация әдістерін өшіріңіз және пайдаланушылардың құрылған VPN ресурсына қол жеткізе алатынын көрсетіңіз.
«Пайдаланушылар» бөлімінде VPN желісіне қол жеткізе алатын пайдаланушыларды жасаңыз, оларды «VPN пайдаланушылары» тобына қосыңыз және аутентификацияның екінші факторын конфигурациялау үшін оларға сілтеме жіберіңіз. Пайдаланушы логин VPN серверіндегі логинге сәйкес келуі керек.
OpenVPN серверін орнату
Файлды ашыңыз /etc/openvpn/server.conf және PAM модулі арқылы аутентификацияға арналған плагинді қосыңыз
client_id — [NAS-идентификатор] параметрін VPN ресурсы параметрлеріндегі сәйкес параметрмен ауыстырыңыз.
Барлық мүмкін параметрлер бөлімінде сипатталған модульге арналған құжаттама.
Екінші және үшінші жолдар сервердегі логинді, құпия сөзді және пайдаланушы құқықтарын жүйелік тексеруді және екінші аутентификация факторын қамтиды.
OpenVPN қайта іске қосыңыз
$ sudo systemctl restart openvpn@server
Клиентті орнату
Клиент конфигурация файлына пайдаланушы логині мен құпия сөзін сұрауды қосыңыз
auth-user-pass
тексеру
OpenVPN клиентін іске қосыңыз, серверге қосылыңыз, пайдаланушы аты мен құпия сөзді енгізіңіз. Telegram боты екі түйме арқылы рұқсат сұрауын жібереді
Бір түйме кіруге мүмкіндік береді, екіншісі оны блоктайды.
Енді сіз құпия сөзіңізді клиентте қауіпсіз сақтай аласыз, екінші фактор OpenVPN серверіңізді рұқсатсыз кіруден сенімді қорғайды.