ProHoster > Dviejų veiksnių autentifikavimas „OpenVPN“ su „Telegram“ robotu
Dviejų veiksnių autentifikavimas „OpenVPN“ su „Telegram“ robotu
Straipsnyje aprašomas „OpenVPN“ serverio nustatymas, kad būtų galima įgalinti dviejų veiksnių autentifikavimą naudojant „Telegram“ robotą, kuris jungiantis išsiųs patvirtinimo užklausą.
OpenVPN yra gerai žinomas nemokamas atvirojo kodo VPN serveris, plačiai naudojamas organizuoti saugią darbuotojų prieigą prie vidinių organizacijos išteklių.
Kaip autentifikavimas prisijungiant prie VPN serverio, dažniausiai naudojamas rakto ir vartotojo prisijungimo / slaptažodžio derinys. Tuo pačiu metu kliente saugomas slaptažodis paverčia visą rinkinį vienu veiksniu, kuris neužtikrina tinkamo saugumo lygio. Užpuolikas, gavęs prieigą prie kliento kompiuterio, taip pat gauna prieigą prie VPN serverio. Tai ypač pasakytina apie ryšius iš įrenginių, kuriuose veikia "Windows".
Antrojo veiksnio naudojimas sumažina neteisėtos prieigos riziką 99% ir visiškai neapsunkina prisijungimo proceso vartotojams.
Leiskite man iš karto rezervuoti: įgyvendinimui turėsite prijungti trečiosios šalies autentifikavimo serverį multifactor.ru, kuriame galėsite naudoti nemokamą tarifą savo poreikiams.
Veikimo principas
„OpenVPN“ autentifikavimui naudoja įskiepį openvpn-plugin-auth-pam
Papildinys patikrina vartotojo slaptažodį serveryje ir per RADIUS protokolą daugiafaktorinėje tarnyboje prašo antrojo faktoriaus
„Multifactor“ siunčia vartotojui pranešimą per „Telegram“ robotą, patvirtinantį prieigą
Vartotojas patvirtina prieigos užklausą „Telegram“ pokalbyje ir prisijungia prie VPN
„OpenVPN“ serverio diegimas
Internete yra daug straipsnių, kuriuose aprašomas „OpenVPN“ diegimo ir konfigūravimo procesas, todėl mes jų nedubliuosime. Jei jums reikia pagalbos, straipsnio pabaigoje yra keletas nuorodų į mokymo programas.
Daugiafaktorių nustatymas
Eiti į Daugiafaktorinė valdymo sistema, eikite į skyrių „Ištekliai“ ir sukurkite naują VPN.
Sukūrę turėsite dvi parinktis: NAS identifikatorius и Bendra paslaptis, jie bus reikalingi tolesnei konfigūracijai.
Skiltyje „Grupės“ eikite į grupės „Visi vartotojai“ nustatymus ir pašalinkite žymą „Visi ištekliai“, kad prie VPN serverio galėtų prisijungti tik tam tikros grupės vartotojai.
Sukurkite naują grupę „VPN vartotojai“, išjunkite visus autentifikavimo būdus, išskyrus „Telegram“, ir nurodykite, kad vartotojai turi prieigą prie sukurto VPN šaltinio.
Skiltyje „Vartotojai“ sukurkite vartotojus, kurie turės prieigą prie VPN, pridėkite juos prie „VPN vartotojų“ grupės ir nusiųskite jiems nuorodą, kad sukonfigūruotumėte antrąjį autentifikavimo veiksnį. Vartotojo prisijungimas turi sutapti su prisijungimu prie VPN serverio.
„OpenVPN“ serverio nustatymas
Atidarykite failą /etc/openvpn/server.conf ir pridėkite papildinį autentifikavimui naudojant PAM modulį
client_id – pakeiskite [NAS-Identifier] atitinkamu parametru iš VPN išteklių nustatymų.
Visi galimi parametrai aprašyti modulio dokumentacija.
Antroje ir trečioje eilutėse yra sistemos patikrinimas jūsų serverio prisijungimo vardu, slaptažodžiu ir vartotojo teisėmis bei antrasis autentifikavimo veiksnys.
Iš naujo paleiskite OpenVPN
$ sudo systemctl restart openvpn@server
Kliento sąranka
Į kliento konfigūracijos failą įtraukite vartotojo prisijungimo ir slaptažodžio užklausą
auth-user-pass
Проверка
Paleiskite OpenVPN klientą, prisijunkite prie serverio, įveskite savo vartotojo vardą ir slaptažodį. „Telegram“ robotas atsiųs prieigos užklausą dviem mygtukais
Vienas mygtukas leidžia pasiekti, antrasis blokuoja.
Dabar galite saugiai išsaugoti slaptažodį kliente; antrasis veiksnys patikimai apsaugos jūsų OpenVPN serverį nuo neteisėtos prieigos.
Jei kažkas neveikia
Paeiliui patikrinkite, ar nieko nepraleidote:
Serveryje yra vartotojas su OpenVPN ir nustatytas slaptažodis
Serveris per UDP prievadą 1812 turi prieigą prie adreso radius.multifactor.ru
NAS-Identifier ir Shared Secret parametrai nurodyti teisingai
Vartotojas su tuo pačiu prisijungimu buvo sukurtas Multifactor sistemoje ir jam suteikta prieiga prie VPN vartotojų grupės
Vartotojas sukonfigūravo autentifikavimo metodą per telegramą