ProHoster > Pengesahan dua faktor dalam OpenVPN dengan bot Telegram
Pengesahan dua faktor dalam OpenVPN dengan bot Telegram
Artikel itu menerangkan penyediaan pelayan OpenVPN untuk mendayakan pengesahan dua faktor dengan bot Telegram yang akan menghantar permintaan pengesahan apabila menyambung.
OpenVPN ialah pelayan VPN sumber terbuka yang terkenal, percuma dan digunakan secara meluas untuk mengatur akses pekerja selamat kepada sumber organisasi dalaman.
Sebagai pengesahan untuk menyambung ke pelayan VPN, gabungan kunci dan log masuk/kata laluan pengguna biasanya digunakan. Pada masa yang sama, kata laluan yang disimpan pada klien mengubah keseluruhan set menjadi satu faktor yang tidak memberikan tahap keselamatan yang betul. Penyerang, setelah mendapat akses kepada komputer klien, juga mendapat akses kepada pelayan VPN. Ini benar terutamanya untuk sambungan daripada mesin yang menjalankan Windows.
Menggunakan faktor kedua mengurangkan risiko capaian tanpa kebenaran sebanyak 99% dan tidak merumitkan proses sambungan untuk pengguna sama sekali.
Biar saya membuat tempahan segera: untuk pelaksanaan anda perlu menyambung pelayan pengesahan pihak ketiga multifactor.ru, di mana anda boleh menggunakan tarif percuma untuk keperluan anda.
Prinsip operasi
OpenVPN menggunakan pemalam openvpn-plugin-auth-pam untuk pengesahan
Pemalam menyemak kata laluan pengguna pada pelayan dan meminta faktor kedua melalui protokol RADIUS dalam perkhidmatan Multifactor
Multifactor menghantar mesej kepada pengguna melalui bot Telegram yang mengesahkan akses
Pengguna mengesahkan permintaan akses dalam sembang Telegram dan menyambung ke VPN
Memasang pelayan OpenVPN
Terdapat banyak artikel di Internet yang menerangkan proses memasang dan mengkonfigurasi OpenVPN, jadi kami tidak akan menduplikasinya. Jika anda memerlukan bantuan, terdapat beberapa pautan ke tutorial di penghujung artikel.
Menyediakan Multifactor
Pergi ke Sistem kawalan pelbagai faktor, pergi ke bahagian "Sumber" dan buat VPN baharu.
Setelah dibuat, anda akan mempunyai dua pilihan yang tersedia untuk anda: Pengecam NAS ΠΈ Rahsia Dikongsi, ia akan diperlukan untuk konfigurasi seterusnya.
Dalam bahagian "Kumpulan", pergi ke tetapan kumpulan "Semua pengguna" dan alih keluar bendera "Semua sumber" supaya hanya pengguna kumpulan tertentu boleh menyambung ke pelayan VPN.
Buat kumpulan baharu "pengguna VPN", lumpuhkan semua kaedah pengesahan kecuali Telegram dan nyatakan bahawa pengguna mempunyai akses kepada sumber VPN yang dibuat.
Dalam bahagian "Pengguna", buat pengguna yang akan mempunyai akses kepada VPN, tambahkan mereka pada kumpulan "Pengguna VPN" dan hantarkan pautan kepada mereka untuk mengkonfigurasi faktor pengesahan kedua. Log masuk pengguna mesti sepadan dengan log masuk pada pelayan VPN.
Menyediakan pelayan OpenVPN
Buka fail /etc/openvpn/server.conf dan tambah pemalam untuk pengesahan menggunakan modul PAM
Baris pertama menghubungkan modul PAM pam_radius_auth dengan parameter:
skip_passwd - melumpuhkan penghantaran kata laluan pengguna ke pelayan RADIUS Multifactor (dia tidak perlu mengetahuinya).
client_id β gantikan [NAS-Identifier] dengan parameter yang sepadan daripada tetapan sumber VPN.
Semua parameter yang mungkin diterangkan dalam dokumentasi untuk modul.
Baris kedua dan ketiga termasuk pengesahan sistem log masuk, kata laluan dan hak pengguna pada pelayan anda bersama-sama dengan faktor pengesahan kedua.
Mulakan semula OpenVPN
$ sudo systemctl restart openvpn@server
Persediaan pelanggan
Sertakan permintaan untuk log masuk pengguna dan kata laluan dalam fail konfigurasi klien
auth-user-pass
ΠΡΠΎΠ²Π΅ΡΠΊΠ°
Lancarkan klien OpenVPN, sambung ke pelayan, masukkan nama pengguna dan kata laluan anda. Bot Telegram akan menghantar permintaan akses dengan dua butang
Satu butang membenarkan akses, yang kedua menghalangnya.
Kini anda boleh menyimpan kata laluan anda dengan selamat pada klien; faktor kedua akan melindungi pelayan OpenVPN anda dengan pasti daripada akses yang tidak dibenarkan.
Jika sesuatu tidak berfungsi
Semak secara berurutan bahawa anda tidak terlepas apa-apa:
Terdapat pengguna pada pelayan dengan OpenVPN dengan set kata laluan
Pelayan mempunyai akses melalui port UDP 1812 ke alamat radius.multifactor.ru
Parameter NAS-Identifier dan Rahsia Dikongsi ditentukan dengan betul
Pengguna dengan log masuk yang sama telah dibuat dalam sistem Multifactor dan telah diberikan akses kepada kumpulan pengguna VPN
Pengguna telah mengkonfigurasi kaedah pengesahan melalui Telegram
Jika anda belum menyediakan OpenVPN sebelum ini, baca artikel terperinci.