ProHoster > Autentifikimi me dy faktorë në OpenVPN me bot Telegram
Autentifikimi me dy faktorë në OpenVPN me bot Telegram
Artikulli përshkruan konfigurimin e një serveri OpenVPN për të mundësuar vërtetimin me dy faktorë me një bot Telegram që do të dërgojë një kërkesë konfirmimi kur të lidhet.
OpenVPN është një server i njohur, falas, me burim të hapur VPN, i cili përdoret gjerësisht për të organizuar akses të sigurt të punonjësve në burimet e brendshme organizative.
Si vërtetim për t'u lidhur me një server VPN, zakonisht përdoret një kombinim i kyçit dhe hyrjes/fjalëkalimit të përdoruesit. Në të njëjtën kohë, fjalëkalimi i ruajtur në klient e kthen të gjithë grupin në një faktor të vetëm që nuk siguron nivelin e duhur të sigurisë. Një sulmues, pasi ka fituar akses në kompjuterin e klientit, gjithashtu fiton akses në serverin VPN. Kjo është veçanërisht e vërtetë për lidhjet nga makinat që përdorin Windows.
Përdorimi i faktorit të dytë ul rrezikun e aksesit të paautorizuar me 99% dhe nuk e ndërlikon aspak procesin e lidhjes për përdoruesit.
Më lejoni të bëj një rezervim menjëherë: për zbatim do t'ju duhet të lidhni një server vërtetimi të palëve të treta multifactor.ru, në të cilin mund të përdorni një tarifë falas për nevojat tuaja.
Parimi i operacionit
OpenVPN përdor shtojcën openvpn-plugin-auth-pam për vërtetim
Shtojca kontrollon fjalëkalimin e përdoruesit në server dhe kërkon faktorin e dytë nëpërmjet protokollit RADIUS në shërbimin Multifactor
Multifactor i dërgon një mesazh përdoruesit nëpërmjet robotit Telegram duke konfirmuar hyrjen
Përdoruesi konfirmon kërkesën për qasje në bisedën Telegram dhe lidhet me VPN
Instalimi i një serveri OpenVPN
Ka shumë artikuj në internet që përshkruajnë procesin e instalimit dhe konfigurimit të OpenVPN, kështu që ne nuk do t'i kopjojmë ato. Nëse keni nevojë për ndihmë, ka disa lidhje me mësimet në fund të artikullit.
Vendosja e Multifactor
Shko tek Sistemi i kontrollit me shumë faktorë, shkoni te seksioni "Burimet" dhe krijoni një VPN të re.
Pasi të krijohet, do të keni në dispozicion dy opsione: NAS-Identifikuesi и Sekret i Përbashkët, ato do të kërkohen për konfigurimin e mëvonshëm.
Në seksionin "Grupet", shkoni te cilësimet e grupit "Të gjithë përdoruesit" dhe hiqni flamurin "Të gjitha burimet" në mënyrë që vetëm përdoruesit e një grupi të caktuar të mund të lidhen me serverin VPN.
Krijoni një grup të ri "Përdorues VPN", çaktivizoni të gjitha metodat e vërtetimit përveç Telegramit dhe tregoni që përdoruesit kanë qasje në burimin e krijuar VPN.
Në seksionin "Përdoruesit", krijoni përdorues që do të kenë akses në VPN, shtojini ata në grupin "Përdoruesit VPN" dhe dërgojini një lidhje për të konfiguruar faktorin e dytë të vërtetimit. Hyrja e përdoruesit duhet të përputhet me hyrjen në serverin VPN.
Vendosja e një serveri OpenVPN
Hapni skedarin /etc/openvpn/server.conf dhe shtoni një shtojcë për vërtetim duke përdorur modulin PAM
Rreshti i parë lidh modulin PAM pam_radius_auth me parametrat:
skip_passwd - çaktivizon transmetimin e fjalëkalimit të përdoruesit në serverin RADIUS Multifactor (ai nuk ka nevojë ta dijë atë).
klient_id — zëvendësoni [NAS-Identifier] me parametrin përkatës nga cilësimet e burimeve VPN.
Të gjithë parametrat e mundshëm përshkruhen në dokumentacionin për modulin.
Rreshti i dytë dhe i tretë përfshijnë verifikimin e sistemit të hyrjes, fjalëkalimit dhe të drejtave të përdoruesit në serverin tuaj së bashku me një faktor të dytë vërtetimi.
Rinisni OpenVPN
$ sudo systemctl restart openvpn@server
Konfigurimi i klientit
Përfshini një kërkesë për hyrjen e përdoruesit dhe fjalëkalimin në skedarin e konfigurimit të klientit
auth-user-pass
Проверка
Nisni klientin OpenVPN, lidheni me serverin, shkruani emrin e përdoruesit dhe fjalëkalimin tuaj. Boti Telegram do të marrë një kërkesë aksesi me dy butona
Një buton lejon hyrjen, i dyti e bllokon atë.
Tani mund të ruani me siguri fjalëkalimin tuaj në klient; faktori i dytë do të mbrojë me besueshmëri serverin tuaj OpenVPN nga qasja e paautorizuar.
Nëse diçka nuk funksionon
Kontrolloni në mënyrë sekuenciale që të mos keni humbur asgjë:
Ekziston një përdorues në server me OpenVPN me një fjalëkalim të caktuar
Serveri ka akses nëpërmjet portit UDP 1812 në adresën radius.multifactor.ru
Parametrat NAS-Identifier dhe Shared Secret janë specifikuar saktë
Një përdorues me të njëjtën hyrje është krijuar në sistemin Multifactor dhe i është dhënë akses në grupin e përdoruesve VPN
Përdoruesi ka konfiguruar metodën e vërtetimit përmes Telegramit