ProHoster > Auténtikasi dua-faktor dina OpenVPN sareng bot Telegram

Auténtikasi dua-faktor dina OpenVPN sareng bot Telegram

Tulisan éta ngajelaskeun nyetél server OpenVPN pikeun ngaktifkeun auténtikasi dua faktor sareng bot Telegram anu bakal ngirim pamundut konfirmasi nalika nyambungkeun.

OpenVPN mangrupikeun pangladén VPN open source anu terkenal, gratis, anu seueur dianggo pikeun ngatur aksés karyawan anu aman kana sumber daya organisasi internal.

Salaku auténtikasi pikeun nyambungkeun kana server VPN, kombinasi konci sareng login pangguna / sandi biasana dianggo. Dina waktos anu sami, kecap akses anu disimpen dina klien ngarobih sadayana set kana faktor tunggal anu henteu nyayogikeun tingkat kaamanan anu leres. Hiji panyerang, sanggeus miboga aksés ka komputer klien, ogé gains aksés ka server VPN. Ieu hususna leres pikeun sambungan tina mesin anu ngajalankeun Windows.

Nganggo faktor kadua ngirangan résiko aksés anu henteu sah ku 99% sareng henteu ngahesekeun prosés sambungan pikeun pangguna.

Hayu atuh nyieun reservasi langsung: pikeun palaksanaan anjeun bakal kedah nyambungkeun hiji server auténtikasi pihak katilu multifactor.ru, dimana anjeun tiasa nganggo tarif bébas pikeun kaperluan anjeun.

Kumaha karya

  1. OpenVPN nganggo plugin openvpn-plugin-auth-pam pikeun auténtikasi
  2. Plugin mariksa sandi pangguna dina server sareng nyuhunkeun faktor kadua ngalangkungan protokol RADIUS dina jasa Multifactor
  3. Multifactor ngirim pesen ka pangguna liwat bot Telegram anu mastikeun aksés
  4. Pamaké mastikeun pamundut aksés dina obrolan Telegram sareng nyambung ka VPN

Masang server OpenVPN

Aya seueur tulisan dina Internét anu ngajelaskeun prosés masang sareng ngonpigurasikeun OpenVPN, janten kami moal nyalin aranjeunna. Upami anjeun peryogi bantosan, aya sababaraha tautan kana tutorial dina tungtung tulisan.

Nyetél Multifaktor

Nuju Sistem kontrol multifaktor, buka bagian "Sumber Daya" tur jieun VPN anyar.
Sakali dijieun, anjeun bakal boga dua pilihan sadia pikeun anjeun: NAS-Identifier и Rahasia Dibagi, aranjeunna bakal diperlukeun pikeun konfigurasi salajengna.

Auténtikasi dua-faktor dina OpenVPN sareng bot Telegram

Dina bagian "Grup", lebet kana setélan grup "Kabéh pangguna" sareng cabut bandéra "Sadaya sumberdaya" supados ngan ukur pangguna tina grup anu tangtu tiasa nyambung ka server VPN.

Jieun grup anyar "pamaké VPN", mareuman sadaya métode auténtikasi iwal Telegram jeung nunjukkeun yén pamaké boga aksés ka sumberdaya VPN dijieun.

Auténtikasi dua-faktor dina OpenVPN sareng bot Telegram

Dina bagian "Pamaké", jieun pamaké anu bakal boga aksés ka VPN, tambahkeun ka grup "pamaké VPN" jeung ngirim aranjeunna link pikeun ngonpigurasikeun faktor kadua auténtikasi. Login pangguna kedah cocog sareng login dina server VPN.

Auténtikasi dua-faktor dina OpenVPN sareng bot Telegram

Nyetél pangladén OpenVPN

Buka file /etc/openvpn/server.conf jeung nambahkeun plugin pikeun auténtikasi maké modul PAM

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Plugin tiasa aya dina diréktori /usr/lib/openvpn/plugins/ atawa /usr/lib64/openvpn/plugins/ gumantung kana sistem Anjeun.

Salajengna anjeun kedah masang modul pam_radius_auth

$ sudo yum install pam_radius

Buka file pikeun ngédit /etc/pam_radius.conf jeung nangtukeun alamat server RADIUS Multifactor nu

radius.multifactor.ru   shared_secret   40

dimana:

  • radius.multifactor.ru — alamat server
  • shared_secret - salinan tina parameter setelan VPN pakait
  • 40 detik - timeout pikeun ngadagoan pamundut kalawan margin badag

Sésana server kedah dipupus atanapi dikomentaran (nyimpen titik koma di awal)

Salajengna, jieun file pikeun openvpn tipe jasa

$ sudo vi /etc/pam.d/openvpn

sareng nyeratna

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Baris kahiji nyambungkeun modul PAM pam_radius_auth jeung parameter:

  • skip_passwd - nganonaktipkeun pangiriman sandi pangguna ka server RADIUS Multifactor (anjeunna henteu kedah terang).
  • client_id - ngaganti [NAS-Identifier] ku parameter pakait tina setélan sumberdaya VPN.
    Sadaya parameter anu mungkin dijelaskeun dina dokuméntasi pikeun modul.

Garis kadua sareng katilu kalebet verifikasi sistem login, kecap akses sareng hak pangguna dina server anjeun sareng faktor auténtikasi kadua.

Balikan deui OpenVPN

$ sudo systemctl restart openvpn@server

Setélan klien

Lebetkeun pamundut kanggo login sareng kecap akses pangguna dina file konfigurasi klien

auth-user-pass

pamariksaan

Ngajalankeun klien OpenVPN, sambungkeun ka server, asupkeun ngaran pamaké sarta sandi anjeun. Bot Telegram bakal ngirim pamundut aksés nganggo dua tombol

Auténtikasi dua-faktor dina OpenVPN sareng bot Telegram

Hiji tombol ngamungkinkeun aksés, nu kadua meungpeuk eta.

Ayeuna anjeun aman tiasa nyimpen sandi anjeun dina klien; faktor kadua reliably ngajaga server OpenVPN anjeun tina aksés nu teu sah.

Upami aya anu henteu jalan

Parios sacara berurutan yén anjeun teu sono nanaon:

  • Aya pangguna dina server sareng OpenVPN sareng set sandi
  • Server boga aksés via port UDP 1812 ka alamat radius.multifactor.ru
  • Parameter NAS-Identifier sareng Rahasia Dibagikeun leres-leres
  • Pamaké sareng login anu sami parantos didamel dina sistem Multifactor sareng parantos dibéré aksés ka grup pangguna VPN
  • Pamaké parantos ngonpigurasikeun metodeu auténtikasi via Telegram

Upami anjeun teu acan nyetél OpenVPN sateuacanna, baca artikel lengkep.

Parentahna dilakukeun nganggo conto dina CentOS 7.

sumber: www.habr.com

Tambahkeun komentar