مقاله د ټلیګرام بوټ سره د دوه فاکتور تصدیق کولو وړ کولو لپاره د OpenVPN سرور تنظیم کول تشریح کوي چې د پیوستون پرمهال به د تایید غوښتنه واستوي.
OpenVPN یو پیژندل شوی، وړیا، د خلاصې سرچینې VPN سرور دی چې په پراخه کچه د داخلي سازماني سرچینو ته د کارمندانو خوندي لاسرسي تنظیم کولو لپاره کارول کیږي.
د VPN سرور سره وصل کولو لپاره د تصدیق په توګه ، د کلیدي او کارونکي ننوتل / پاسورډ ترکیب معمولا کارول کیږي. په ورته وخت کې ، په پیرودونکي کې زیرمه شوی پټنوم ټول سیټ په یو واحد فکتور بدلوي چې د امنیت مناسبه کچه نه وړاندې کوي. یو برید کونکی ، د پیرودونکي کمپیوټر ته لاسرسی موندلی ، د VPN سرور ته هم لاسرسی ترلاسه کوي. دا په ځانګړې توګه د وینډوز چلولو ماشینونو څخه د اړیکو لپاره ریښتیا ده.
د دوهم فاکتور کارول د غیر مجاز لاسرسي خطر 99٪ کموي او د کاروونکو لپاره د اتصال پروسه پیچلې نه کوي.
اجازه راکړئ سمدلاسه ریزرویشن وکړم: د پلي کولو لپاره تاسو اړتیا لرئ د دریمې ډلې تصدیق کولو سرور multifactor.ru سره وصل کړئ ، په کوم کې چې تاسو کولی شئ د خپلو اړتیاو لپاره وړیا تعرفه وکاروئ.
دا څنګه کار کوي
- OpenVPN د تصدیق لپاره openvpn-plugin-auth-pam پلگ ان کاروي
- پلگ ان په سرور کې د کارونکي پټنوم چک کوي او د ملټي فاکتور خدمت کې د RADIUS پروتوکول له لارې د دوهم فاکتور غوښتنه کوي
- ملټي فاکتور د ټیلیګرام بوټ له لارې کارونکي ته یو پیغام لیږي چې د لاسرسي تصدیق کوي
- کارونکي په ټیلیګرام چیٹ کې د لاسرسي غوښتنه تاییدوي او د VPN سره وصل کیږي
د OpenVPN سرور نصب کول
په انټرنیټ کې ډیری مقالې شتون لري چې د OpenVPN نصب او تنظیم کولو پروسې تشریح کوي، نو موږ به یې نقل نه کړو. که تاسو مرستې ته اړتیا لرئ، د مقالې په پای کې د درسونو لپاره ډیری لینکونه شتون لري.
د ملټي فکتور تنظیم کول
لاړ شه
یوځل چې رامینځته شوی ، تاسو به دوه اختیارونه ولرئ: NAS-پیژندونکی и شریک شوی پټ، دوی به د راتلونکي ترتیب لپاره اړین وي.
د "ډلو" برخه کې، د "ټولو کاروونکو" ډلې ترتیباتو ته لاړ شئ او د "ټولو سرچینو" بیرغ لرې کړئ ترڅو یوازې د یوې ځانګړې ډلې کاروونکي د VPN سرور سره وصل شي.
د "VPN کاروونکي" نوې ډله جوړه کړئ، د ټلیګرام پرته د تصدیق ټولې میتودونه غیر فعال کړئ او په ګوته کړئ چې کاروونکي د VPN رامینځته شوي سرچینې ته لاسرسی لري.
د "کارونکو" برخه کې، هغه کاروونکي جوړ کړئ چې VPN ته لاسرسی ولري، دوی د "VPN کاروونکو" ګروپ ته اضافه کړئ او دوی ته د تصدیق کولو دویم فاکتور تنظیم کولو لپاره یو لینک واستوئ. د کارونکي ننوتل باید د VPN سرور کې د ننوتلو سره سمون ولري.
د OpenVPN سرور تنظیم کول
فایل خلاص کړئ /etc/openvpn/server.conf او د PAM ماډل په کارولو سره د تصدیق کولو لپاره پلگ ان اضافه کړئ
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn
پلگ ان په لارښود کې موقعیت لري /usr/lib/openvpn/plugins/ او یا /usr/lib64/openvpn/plugins/ ستاسو په سیسټم پورې اړه لري.
بیا تاسو اړتیا لرئ د pam_radius_auth ماډل نصب کړئ
$ sudo yum install pam_radius
د ترمیم لپاره فایل خلاص کړئ /etc/pam_radius.conf او د ملټي فاکتور د RADIUS سرور پته مشخص کړئ
radius.multifactor.ru shared_secret 40
چیرې چې:
- radius.multifactor.ru — د سرور پته
- shared_secret - د اړوند VPN تنظیماتو پیرامیټر څخه کاپي
- 40 ثانیې - د لوی حاشیې سره غوښتنې ته د انتظار لپاره وخت پای
پاتې سرورونه باید حذف یا تبصره شي (په پیل کې سیمکولون واچوئ)
بیا ، د خدماتو ډول اوپن وی پی این لپاره فایل رامینځته کړئ
$ sudo vi /etc/pam.d/openvpn
او په کې یې ولیکئ
auth required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth substack password-auth
account substack password-auth
لومړۍ کرښه د PAM ماډل pam_radius_auth د پیرامیټونو سره نښلوي:
- skip_passwd - د RADIUS ملټي فاکتور سرور ته د کارونکي پټنوم لیږد غیر فعالوي (هغه اړتیا نلري پدې پوه شي).
- client_id — د VPN سرچینې تنظیماتو څخه د ورته پیرامیټر سره [NAS-Identifier] بدل کړئ.
ټول ممکنه پیرامیټونه تشریح شويد ماډل لپاره اسناد .
په دویمه او دریمه کرښه کې ستاسو په سرور کې د ننوتلو ، پټنوم او د کارونکي حقونه د سیسټم تصدیق د دوهم تصدیق فاکتور سره شامل دي.
OpenVPN بیا پیل کړئ
$ sudo systemctl restart openvpn@server
د پیرودونکي تنظیم کول
د پیرودونکي تنظیم کولو فایل کې د کارونکي ننوتل او پټنوم لپاره غوښتنه شامل کړئ
auth-user-pass
د تفتیش
د OpenVPN مراجع پیل کړئ، سرور سره وصل کړئ، خپل کارن نوم او پټنوم دننه کړئ. د ټیلیګرام بوټ به د دوه بټونو سره د لاسرسي غوښتنه ترلاسه کړي
یو تڼۍ د لاسرسي اجازه ورکوي، دویم یې بندوي.
اوس تاسو کولی شئ په پیرودونکي کې په خوندي ډول خپل پټنوم خوندي کړئ؛ دوهم فاکتور به ستاسو د OpenVPN سرور په اعتبار سره د غیر مجاز لاسرسي څخه خوندي کړي.
که یو څه کار نه کوي
په ترتیب سره وګورئ چې تاسو هیڅ شی له لاسه نه دی ورکړی:
- په سرور کې یو کارن د OpenVPN سره د پټنوم سیټ سره شتون لري
- سرور د UDP پورټ 1812 له لارې ادرس radius.multifactor.ru ته لاسرسی لري
- د NAS-پیژندونکي او شریک شوي پټ پیرامیټونه په سمه توګه مشخص شوي
- د ورته ننوتلو سره یو کارن په ملټي فکتور سیسټم کې رامینځته شوی او د VPN کارونکي ګروپ ته لاسرسی ورکړل شوی
- کارونکي د ټیلیګرام له لارې د تصدیق کولو میتود تنظیم کړی
که تاسو مخکې OpenVPN نه وي ترتیب کړی، ولولئ
لارښوونې په CentOS 7 کې د مثالونو سره رامینځته شوي.
سرچینه: www.habr.com