ProHoster > Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot

Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot

L-artikolu jiddeskrivi t-twaqqif ta 'server OpenVPN biex jippermetti awtentikazzjoni b'żewġ fatturi ma' bot Telegram li jibgħat talba ta 'konferma meta tikkonnettja.

OpenVPN huwa server VPN magħruf, b'xejn u open-source li huwa użat ħafna biex jorganizza aċċess sigur tal-impjegati għal riżorsi organizzattivi interni.

Bħala awtentikazzjoni għall-konnessjoni ma' server VPN, normalment tintuża taħlita ta' ċavetta u login/password tal-utent. Fl-istess ħin, il-password maħżuna fuq il-klijent iddawwar is-sett kollu f'fattur wieħed li ma jipprovdix il-livell xieraq ta 'sigurtà. Attakkant, wara li kiseb aċċess għal kompjuter klijent, jikseb aċċess ukoll għas-server VPN. Dan hu veru speċjalment għal konnessjonijiet minn magni li jaħdmu bil-Windows.

L-użu tat-tieni fattur inaqqas ir-riskju ta 'aċċess mhux awtorizzat b'99% u ma jikkomplika l-proċess ta' konnessjoni għall-utenti xejn.

Ħa nagħmel riżerva minnufih: għall-implimentazzjoni ser ikollok bżonn tikkonnettja server ta 'awtentikazzjoni ta' parti terza multifactor.ru, li fih tista 'tuża tariffa b'xejn għall-bżonnijiet tiegħek.

Prinċipju ta 'operazzjoni

  1. OpenVPN juża l-plugin openvpn-plugin-auth-pam għall-awtentikazzjoni
  2. Il-plugin jiċċekkja l-password tal-utent fuq is-server u jitlob it-tieni fattur permezz tal-protokoll RADIUS fis-servizz Multifactor
  3. Multifactor jibgħat messaġġ lill-utent permezz tat-Telegram bot li jikkonferma l-aċċess
  4. L-utent jikkonferma t-talba għall-aċċess fiċ-chat tat-Telegram u jgħaqqad mal-VPN

Installazzjoni ta' server OpenVPN

Hemm ħafna artikli fuq l-Internet li jiddeskrivu l-proċess ta 'installazzjoni u konfigurazzjoni ta' OpenVPN, għalhekk mhux se nidduplikawhom. Jekk għandek bżonn għajnuna, hemm diversi links għal tutorials fl-aħħar tal-artiklu.

Twaqqif tal-Multifattur

Mur fuq Sistema ta 'kontroll b'ħafna fatturi, mur fit-taqsima "Riżorsi" u oħloq VPN ġdida.
Ladarba tinħoloq, ikollok żewġ għażliet disponibbli għalik: NAS-IDentifikatur и Sigriet maqsum, ikunu meħtieġa għall-konfigurazzjoni sussegwenti.

Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot

Fit-taqsima "Gruppi", mur fis-settings tal-grupp "Utenti kollha" u neħħi l-bandiera "Riżorsi kollha" sabiex l-utenti ta 'ċertu grupp biss ikunu jistgħu jgħaqqdu mas-server VPN.

Oħloq grupp ġdid "utenti VPN", iddiżattiva l-metodi kollha ta 'awtentikazzjoni ħlief Telegram u indika li l-utenti għandhom aċċess għar-riżors VPN maħluqa.

Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot

Fit-taqsima "Utenti", oħloq utenti li se jkollhom aċċess għall-VPN, żidhom mal-grupp "Utenti VPN" u ibgħatilhom link biex tikkonfigura t-tieni fattur ta 'awtentikazzjoni. Il-login tal-utent irid jaqbel mal-login fuq is-server VPN.

Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot

Twaqqif ta' server OpenVPN

Iftaħ il-fajl /etc/openvpn/server.conf u żid plugin għall-awtentikazzjoni billi tuża l-modulu PAM

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Il-plugin jista 'jinstab fid-direttorju /usr/lib/openvpn/plugins/ jew /usr/lib64/openvpn/plugins/ skond is-sistema tiegħek.

Imbagħad għandek bżonn tinstalla l-modulu pam_radius_auth

$ sudo yum install pam_radius

Iftaħ il-fajl għall-editjar /etc/pam_radius.conf u speċifika l-indirizz tas-server RADIUS tal-Multifattur

radius.multifactor.ru   shared_secret   40

fejn:

  • radius.multifactor.ru — indirizz tas-server
  • shared_secret - kopja mill-parametru tas-settings VPN korrispondenti
  • 40 sekonda - timeout għall-istennija għal talba b'marġni kbir

Is-servers li jifdal għandhom jitħassru jew jiġu kkummentati (poġġi punt u virgola fil-bidu)

Sussegwentement, oħloq fajl għal openvpn tat-tip tas-servizz

$ sudo vi /etc/pam.d/openvpn

u iktebha

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

L-ewwel linja tgħaqqad il-modulu PAM pam_radius_auth mal-parametri:

  • skip_passwd - tiddiżattiva t-trażmissjoni tal-password tal-utent lis-server RADIUS Multifactor (m'għandux għalfejn ikun jafha).
  • client_id — ibdel [NAS-Identifier] bil-parametru korrispondenti mis-settings tar-riżorsi VPN.
    Il-parametri kollha possibbli huma deskritti fi dokumentazzjoni għall-modulu.

It-tieni u t-tielet linji jinkludu verifika tas-sistema tal-login, il-password u d-drittijiet tal-utent fuq is-server tiegħek flimkien mat-tieni fattur ta’ awtentikazzjoni.

Ibda mill-ġdid OpenVPN

$ sudo systemctl restart openvpn@server

Setup tal-klijent

Inkludi talba għal login tal-utent u password fil-fajl tal-konfigurazzjoni tal-klijent

auth-user-pass

Проверка

Ibda l-klijent OpenVPN, qabbad mas-server, daħħal il-username u l-password tiegħek. Il-bot Telegram se jibgħat talba għall-aċċess b'żewġ buttuni

Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot

Buttuna waħda tippermetti aċċess, it-tieni timblokkaha.

Issa tista 'ssalva l-password tiegħek fuq il-klijent mingħajr periklu; it-tieni fattur jipproteġi b'mod affidabbli s-server OpenVPN tiegħek minn aċċess mhux awtorizzat.

Jekk xi ħaġa ma taħdimx

Iċċekkja sekwenzjali li ma tlift xejn:

  • Hemm utent fuq is-server b'OpenVPN b'sett ta 'password
  • Is-server għandu aċċess permezz tal-port UDP 1812 għall-indirizz radius.multifactor.ru
  • Il-parametri NAS-Identifier u Sigriet Kondiviż huma speċifikati b'mod korrett
  • Utent bl-istess login inħoloq fis-sistema Multifactor u ngħata aċċess għall-grupp tal-utenti VPN
  • L-utent ikkonfigura l-metodu ta 'awtentikazzjoni permezz ta' Telegram

Jekk ma waqqaftx OpenVPN qabel, aqra artikolu dettaljat.

L-istruzzjonijiet huma magħmula b'eżempji fuq CentOS 7.

Sors: www.habr.com

Żid kumment