Telegram боту менен OpenVPNде эки фактордук аутентификация

Макалада Telegram боту менен эки факторлуу аутентификацияны иштетүү үчүн OpenVPN серверин орнотуу сүрөттөлөт, ал туташуу учурунда ырастоо өтүнүчүн жөнөтөт.

OpenVPN - бул белгилүү, акысыз, ачык булактуу VPN сервери, ал кызматкерлердин ички уюштуруу ресурстарына коопсуз жетүү мүмкүнчүлүгүн уюштуруу үчүн кеңири колдонулат.

VPN серверине туташуу үчүн аутентификация катары, адатта, ачкычтын жана колдонуучунун логининин/паролунун айкалышы колдонулат. Ошол эле учурда кардарда сакталган сырсөз бардык топтомду коопсуздуктун тийиштүү деңгээлин камсыз кылбаган бирдиктүү факторго айлантат. Кардар компьютерине кирүү мүмкүнчүлүгүнө ээ болгон чабуулчу VPN серверине да мүмкүнчүлүк алат. Бул, айрыкча, Windows менен иштеген машиналардан туташууларга тиешелүү.

Экинчи факторду колдонуу уруксатсыз кирүү коркунучун 99% азайтат жана колдонуучулар үчүн байланыш процессин такыр татаалдаштырбайт.

Мага дароо ээлеп коюуга уруксат этиңиз: ишке ашыруу үчүн сизге multifactor.ru үчүнчү тараптын аутентификация серверин туташтыруу керек, анда сиз өз муктаждыктарыңыз үчүн бекер тарифти колдоно аласыз.

Иштөө принциби

1. OpenVPN аутентификация үчүн openvpn-plugin-auth-pam плагинин колдонот
2. Плагин сервердеги колдонуучунун сырсөзүн текшерет жана Multifactor кызматындагы RADIUS протоколу аркылуу экинчи факторду сурайт
3. Multifactor колдонуучуга кирүү мүмкүнчүлүгүн ырастаган Telegram боту аркылуу билдирүү жөнөтөт
4. Колдонуучу Telegram чатында кирүү өтүнүчүн ырастап, VPN'ге туташат

OpenVPN серверин орнотуу

Интернетте OpenVPN орнотуу жана конфигурациялоо процессин сүрөттөгөн көптөгөн макалалар бар, ошондуктан биз аларды кайталабайбыз. Эгер сизге жардам керек болсо, макаланын аягында окуу куралдарына бир нече шилтемелер бар.

Multifactor орнотуу

барып, Көп факторлуу башкаруу системасы, "Ресурстар" бөлүмүнө өтүп, жаңы VPN түзүңүз.
Түзүлгөндөн кийин сизде эки вариант болот: NAS-идентификатор и Бөлүшүлгөн сыр, алар кийинки конфигурация үчүн талап кылынат.

"Группалар" бөлүмүндө "Бардык колдонуучулар" тобунун жөндөөлөрүнө өтүп, белгилүү бир топтун колдонуучулары гана VPN серверине туташуусу үчүн "Бардык ресурстар" желегин алып салыңыз.

Жаңы "VPN колдонуучулары" тобун түзүңүз, Telegramдан башка аутентификациянын бардык ыкмаларын өчүрүңүз жана колдонуучулардын түзүлгөн VPN ресурсуна кирүү мүмкүнчүлүгү бар экенин көрсөтүңүз.

"Колдонуучулар" бөлүмүндө VPNге кире турган колдонуучуларды түзүп, аларды "VPN колдонуучулары" тобуна кошуп, аутентификациянын экинчи факторун конфигурациялоо үчүн аларга шилтеме жөнөтүңүз. Колдонуучунун логини VPN сервериндеги логинге дал келиши керек.

OpenVPN серверин орнотуу

Файлды ачыңыз /etc/openvpn/server.conf жана PAM модулу аркылуу аутентификация үчүн плагинди кошуңуз

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Плагин каталогдо жайгашкан болот /usr/lib/openvpn/plugins/ же /usr/lib64/openvpn/plugins/ системаңызга жараша.

Андан кийин pam_radius_auth модулун орнотуу керек

$ sudo yum install pam_radius

Файлды түзөтүү үчүн ачыңыз /etc/pam_radius.conf жана Multifactorдун RADIUS серверинин дарегин көрсөтүңүз

radius.multifactor.ru   shared_secret   40

мында:

• radius.multifactor.ru — сервердин дареги
• shared_secret - тиешелүү VPN жөндөөлөрүнүн параметринен көчүрүү
• 40 секунд - чоң маржа менен суроо-талапты күтүү тайм-ауту

Калган серверлер жок кылынышы же комментарий берилиши керек (башына чекит коюу)

Андан кийин, кызмат тибиндеги openvpn үчүн файл түзүңүз

$ sudo vi /etc/pam.d/openvpn

жана аны жаз

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Биринчи сап pam_radius_auth PAM модулун параметрлер менен байланыштырат:

• skip_passwd - колдонуучунун сырсөзүн RADIUS Multifactor серверине өткөрүп берүүнү өчүрөт (ал аны билиши керек эмес).
• client_id — [NAS-Идентификаторду] VPN ресурс орнотууларынан тиешелүү параметр менен алмаштырыңыз.
  Бардык мүмкүн болгон параметрлер сүрөттөлгөн модулу үчүн документтер.

Экинчи жана үчүнчү саптар сервериңиздеги логинди, паролду жана колдонуучунун укуктарын системалык текшерүүнү жана экинчи аутентификация факторун камтыйт.

OpenVPN'ди кайра иштетиңиз

$ sudo systemctl restart openvpn@server

Кардар орнотуу

Кардардын конфигурация файлына колдонуучунун логинине жана сырсөзүнө суроо-талапты кошуңуз

auth-user-pass

карап чыгуу

OpenVPN кардарын ишке киргизиңиз, серверге туташыңыз, колдонуучу атыңызды жана сырсөзүңүздү киргизиңиз. Telegram боту эки баскыч менен кирүү өтүнүчүн жөнөтөт

Бир баскычы кирүү мүмкүнчүлүгүн берет, экинчиси аны бөгөттөйт.

Эми сиз сырсөзүңүздү кардарда коопсуз сактай аласыз; экинчи фактор OpenVPN сервериңизди уруксатсыз кирүүдөн ишенимдүү коргойт.

Эгер бир нерсе иштебесе

Эч нерсени өткөрүп жибербегениңизди ирети менен текшериңиз:

• OpenVPN менен серверде сырсөз коюлган колдонуучу бар
• Сервер radius.multifactor.ru дарегине UDP 1812 порту аркылуу кире алат
• NAS-идентификатору жана Shared Secret параметрлери туура көрсөтүлгөн
• Multifactor системасында ушундай эле логин менен колдонуучу түзүлдү жана VPN колдонуучулар тобуна кирүү мүмкүнчүлүгүнө ээ болду
• Колдонуучу Telegram аркылуу аутентификация ыкмасын конфигурациялады

Эгер сиз буга чейин OpenVPN орното элек болсоңуз, окуңуз деталдуу макала.

Көрсөтмөлөр CentOS 7деги мисалдар менен жасалган.

Source: www.habr.com