ProHoster > Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot
Awtentikazzjoni b'żewġ fatturi f'OpenVPN b'Telegram bot
L-artikolu jiddeskrivi t-twaqqif ta 'server OpenVPN biex jippermetti awtentikazzjoni b'żewġ fatturi ma' bot Telegram li jibgħat talba ta 'konferma meta tikkonnettja.
OpenVPN huwa server VPN magħruf, b'xejn u open-source li huwa użat ħafna biex jorganizza aċċess sigur tal-impjegati għal riżorsi organizzattivi interni.
Bħala awtentikazzjoni għall-konnessjoni ma' server VPN, normalment tintuża taħlita ta' ċavetta u login/password tal-utent. Fl-istess ħin, il-password maħżuna fuq il-klijent iddawwar is-sett kollu f'fattur wieħed li ma jipprovdix il-livell xieraq ta 'sigurtà. Attakkant, wara li kiseb aċċess għal kompjuter klijent, jikseb aċċess ukoll għas-server VPN. Dan hu veru speċjalment għal konnessjonijiet minn magni li jaħdmu bil-Windows.
L-użu tat-tieni fattur inaqqas ir-riskju ta 'aċċess mhux awtorizzat b'99% u ma jikkomplika l-proċess ta' konnessjoni għall-utenti xejn.
Ħa nagħmel riżerva minnufih: għall-implimentazzjoni ser ikollok bżonn tikkonnettja server ta 'awtentikazzjoni ta' parti terza multifactor.ru, li fih tista 'tuża tariffa b'xejn għall-bżonnijiet tiegħek.
Prinċipju ta 'operazzjoni
OpenVPN juża l-plugin openvpn-plugin-auth-pam għall-awtentikazzjoni
Il-plugin jiċċekkja l-password tal-utent fuq is-server u jitlob it-tieni fattur permezz tal-protokoll RADIUS fis-servizz Multifactor
Multifactor jibgħat messaġġ lill-utent permezz tat-Telegram bot li jikkonferma l-aċċess
L-utent jikkonferma t-talba għall-aċċess fiċ-chat tat-Telegram u jgħaqqad mal-VPN
Installazzjoni ta' server OpenVPN
Hemm ħafna artikli fuq l-Internet li jiddeskrivu l-proċess ta 'installazzjoni u konfigurazzjoni ta' OpenVPN, għalhekk mhux se nidduplikawhom. Jekk għandek bżonn għajnuna, hemm diversi links għal tutorials fl-aħħar tal-artiklu.
Twaqqif tal-Multifattur
Mur fuq Sistema ta 'kontroll b'ħafna fatturi, mur fit-taqsima "Riżorsi" u oħloq VPN ġdida.
Ladarba tinħoloq, ikollok żewġ għażliet disponibbli għalik: NAS-IDentifikatur и Sigriet maqsum, ikunu meħtieġa għall-konfigurazzjoni sussegwenti.
Fit-taqsima "Gruppi", mur fis-settings tal-grupp "Utenti kollha" u neħħi l-bandiera "Riżorsi kollha" sabiex l-utenti ta 'ċertu grupp biss ikunu jistgħu jgħaqqdu mas-server VPN.
Oħloq grupp ġdid "utenti VPN", iddiżattiva l-metodi kollha ta 'awtentikazzjoni ħlief Telegram u indika li l-utenti għandhom aċċess għar-riżors VPN maħluqa.
Fit-taqsima "Utenti", oħloq utenti li se jkollhom aċċess għall-VPN, żidhom mal-grupp "Utenti VPN" u ibgħatilhom link biex tikkonfigura t-tieni fattur ta 'awtentikazzjoni. Il-login tal-utent irid jaqbel mal-login fuq is-server VPN.
Twaqqif ta' server OpenVPN
Iftaħ il-fajl /etc/openvpn/server.conf u żid plugin għall-awtentikazzjoni billi tuża l-modulu PAM
client_id — ibdel [NAS-Identifier] bil-parametru korrispondenti mis-settings tar-riżorsi VPN.
Il-parametri kollha possibbli huma deskritti fi dokumentazzjoni għall-modulu.
It-tieni u t-tielet linji jinkludu verifika tas-sistema tal-login, il-password u d-drittijiet tal-utent fuq is-server tiegħek flimkien mat-tieni fattur ta’ awtentikazzjoni.
Ibda mill-ġdid OpenVPN
$ sudo systemctl restart openvpn@server
Setup tal-klijent
Inkludi talba għal login tal-utent u password fil-fajl tal-konfigurazzjoni tal-klijent
auth-user-pass
Проверка
Ibda l-klijent OpenVPN, qabbad mas-server, daħħal il-username u l-password tiegħek. Il-bot Telegram se jibgħat talba għall-aċċess b'żewġ buttuni
Buttuna waħda tippermetti aċċess, it-tieni timblokkaha.
Issa tista 'ssalva l-password tiegħek fuq il-klijent mingħajr periklu; it-tieni fattur jipproteġi b'mod affidabbli s-server OpenVPN tiegħek minn aċċess mhux awtorizzat.
Jekk xi ħaġa ma taħdimx
Iċċekkja sekwenzjali li ma tlift xejn:
Hemm utent fuq is-server b'OpenVPN b'sett ta 'password
Is-server għandu aċċess permezz tal-port UDP 1812 għall-indirizz radius.multifactor.ru
Il-parametri NAS-Identifier u Sigriet Kondiviż huma speċifikati b'mod korrett
Utent bl-istess login inħoloq fis-sistema Multifactor u ngħata aċċess għall-grupp tal-utenti VPN
L-utent ikkonfigura l-metodu ta 'awtentikazzjoni permezz ta' Telegram