ProHoster > Zwee-Faktor Authentifikatioun an OpenVPN mat Telegram Bot
Zwee-Faktor Authentifikatioun an OpenVPN mat Telegram Bot
Den Artikel beschreift d'Opstellung vun engem OpenVPN Server fir Zwee-Faktor Authentifikatioun mat engem Telegram Bot z'aktivéieren, deen eng Bestätegungsufro beim Uschloss schéckt.
OpenVPN ass e bekannten, gratis Open-Source VPN Server dee wäit benotzt gëtt fir sécheren Employé Zougang zu intern organisatoresch Ressourcen ze organiséieren.
Als Authentifikatioun fir d'Verbindung mat engem VPN Server gëtt normalerweis eng Kombinatioun vun engem Schlëssel a Benotzer Login / Passwuert benotzt. Zur selwechter Zäit verwandelt d'Passwuert, déi um Client gespäichert ass, de ganze Set an een eenzegen Faktor deen net de passenden Sécherheetsniveau ubitt. En Ugräifer, deen Zougang zum Clientcomputer krut, kritt och Zougang zum VPN Server. Dëst ass besonnesch wouer fir Verbindunge vu Maschinnen déi Windows lafen.
D'Benotzung vum zweete Faktor reduzéiert de Risiko vun onerlaabten Zougang ëm 99% a komplizéiert de Verbindungsprozess fir d'Benotzer guer net.
Loosst mech direkt eng Reservatioun maachen: fir d'Ëmsetzung musst Dir en Drëtt-Partei Authentifikatiounsserver multifactor.ru verbannen, an deem Dir e gratis Tarif fir Är Besoinen benotze kënnt.
Wéi se funktionéiert
OpenVPN benotzt den openvpn-plugin-auth-pam Plugin fir d'Authentifikatioun
De Plugin kontrolléiert d'Passwuert vum Benotzer um Server an freet den zweete Faktor iwwer de RADIUS Protokoll am Multifactor Service
Multifactor schéckt e Message un de Benotzer iwwer Telegram Bot deen den Zougang bestätegt
De Benotzer bestätegt den Zougangsufro am Telegram Chat a verbënnt mam VPN
Installéiere vun engem OpenVPN Server
Et gi vill Artikelen um Internet déi de Prozess vun der Installatioun an der Konfiguratioun vun OpenVPN beschreiwen, sou datt mir se net duplizéieren. Wann Dir Hëllef braucht, ginn et e puer Linken op Tutorials um Enn vum Artikel.
Multifactor opsetzen
Géi op Multifactor Kontroll System, gitt op d'Sektioun "Ressourcen" a erstellt en neie VPN.
Wann Dir erstallt hutt, hutt Dir zwou Méiglechkeeten fir Iech verfügbar: NAS-IDentifier и Gedeelt Geheimnis, si wäerte fir spéider Konfiguratioun erfuerderlech sinn.
An der Rubrik "Gruppen", gitt op d'Grupp Astellunge "All Benotzer" a läscht de Fändel "All Ressourcen" sou datt nëmmen Benotzer vun enger bestëmmter Grupp mat dem VPN Server verbannen kënnen.
Erstellt eng nei Grupp "VPN Benotzer", deaktivéiert all Authentifikatiounsmethoden ausser Telegram a gitt un datt d'Benotzer Zougang zu der erstallt VPN Ressource hunn.
An der Rubrik "Benotzer" erstellt Benotzer déi Zougang zum VPN hunn, addéiere se an d'Grupp "VPN Benotzer" a schéckt hinnen e Link fir den zweete Faktor vun der Authentifikatioun ze konfiguréieren. De Benotzer Login muss dem Login um VPN Server passen.
En OpenVPN Server opsetzen
De Fichier opmaachen /etc/openvpn/server.conf a füügt e Plugin fir d'Authentifikatioun mam PAM Modul un
Déi éischt Zeil verbënnt de PAM Modul pam_radius_auth mat de Parameteren:
skip_passwd - deaktivéiert d'Transmissioun vum Passwuert vum Benotzer op de RADIUS Multifactor Server (hie brauch et net ze wëssen).
client_id - ersetzt [NAS-Identifier] mam entspriechende Parameter vun de VPN Ressource Astellungen.
All méiglech Parameteren sinn beschriwwen an Dokumentatioun fir de Modul.
Déi zweet an drëtt Zeil enthalen Systemverifikatioun vum Login, Passwuert a Benotzerrechter op Ärem Server zesumme mat engem zweeten Authentifikatiounsfaktor.
Restart OpenVPN
$ sudo systemctl restart openvpn@server
Client Setup
Gitt eng Ufro fir Benotzer Login a Passwuert an der Client Konfiguratiounsdatei
auth-user-pass
Inspektioun
Start den OpenVPN Client, verbënnt mam Server, gitt Äre Benotzernumm a Passwuert. Den Telegram Bot schéckt eng Zougangsufro mat zwee Knäppercher
Ee Knäppchen erlaabt Zougang, déi zweet blockéiert et.
Elo kënnt Dir Äert Passwuert sécher um Client späicheren; den zweete Faktor schützt Ären OpenVPN Server zouverlässeg virun onerlaabten Zougang.
Wann eppes net funktionnéiert
Sequenziell kontrolléiert datt Dir näischt verpasst hutt:
Et gëtt e Benotzer um Server mat OpenVPN mat engem Passwuert gesat
De Server huet Zougang iwwer UDP Hafen 1812 op d'Adress radius.multifactor.ru
D'NAS-Identifier a Shared Secret Parameteren sinn korrekt spezifizéiert
E Benotzer mat deemselwechte Login gouf am Multifactor System erstallt a krut Zougang zu der VPN Benotzergrupp
De Benotzer huet d'Authentifikatiounsmethod iwwer Telegram konfiguréiert