ProHoster > Uthibitishaji wa mambo mawili katika OpenVPN na Telegram bot

Uthibitishaji wa mambo mawili katika OpenVPN na Telegram bot

Nakala hiyo inaelezea kusanidi seva ya OpenVPN ili kuwezesha uthibitishaji wa sababu mbili na bot ya Telegraph ambayo itatuma ombi la uthibitisho wakati wa kuunganisha.

OpenVPN ni seva ya VPN inayojulikana, isiyolipishwa na ya chanzo huria ambayo hutumiwa sana kupanga ufikiaji salama wa wafanyikazi kwa rasilimali za ndani za shirika.

Kama uthibitishaji wa kuunganisha kwa seva ya VPN, mchanganyiko wa ufunguo na kuingia kwa mtumiaji/nenosiri kawaida hutumiwa. Wakati huo huo, nenosiri lililohifadhiwa kwa mteja hugeuza seti nzima kuwa jambo moja ambalo haitoi kiwango sahihi cha usalama. Mshambulizi, akiwa amepata ufikiaji wa kompyuta ya mteja, pia anapata ufikiaji wa seva ya VPN. Hii ni kweli hasa kwa miunganisho kutoka kwa mashine zinazoendesha Windows.

Kutumia sababu ya pili hupunguza hatari ya ufikiaji usioidhinishwa kwa 99% na haifanyi ugumu wa mchakato wa uunganisho kwa watumiaji hata kidogo.

Acha nifanye uhifadhi mara moja: kwa utekelezaji utahitaji kuunganisha seva ya uthibitishaji wa mtu wa tatu multifactor.ru, ambayo unaweza kutumia ushuru wa bure kwa mahitaji yako.

Kanuni ya uendeshaji

  1. OpenVPN hutumia programu-jalizi ya openvpn-plugin-auth-pam kwa uthibitishaji
  2. Programu-jalizi hukagua nenosiri la mtumiaji kwenye seva na kuomba jambo la pili kupitia itifaki ya RADIUS katika huduma ya Multifactor.
  3. Multifactor hutuma ujumbe kwa mtumiaji kupitia Telegram bot inayothibitisha ufikiaji
  4. Mtumiaji anathibitisha ombi la ufikiaji katika gumzo la Telegraph na kuunganishwa na VPN

Inasakinisha seva ya OpenVPN

Kuna vifungu vingi kwenye Mtandao vinavyoelezea mchakato wa kusakinisha na kusanidi OpenVPN, kwa hivyo hatutazirudia. Ikiwa unahitaji msaada, kuna viungo kadhaa vya mafunzo mwishoni mwa kifungu.

Kuanzisha Multifactor

Enda kwa Mfumo wa udhibiti wa Multifactor, nenda kwenye sehemu ya "Rasilimali" na uunda VPN mpya.
Mara baada ya kuundwa, utakuwa na chaguzi mbili zinazopatikana kwako: Kitambulisho cha NAS ΠΈ Siri ya Pamoja, zitahitajika kwa usanidi unaofuata.

Uthibitishaji wa mambo mawili katika OpenVPN na Telegram bot

Katika sehemu ya "Vikundi", nenda kwenye mipangilio ya kikundi cha "Watumiaji wote" na uondoe bendera ya "Rasilimali zote" ili watumiaji wa kikundi fulani tu wanaweza kuunganisha kwenye seva ya VPN.

Unda kikundi kipya "watumiaji wa VPN", zima njia zote za uthibitishaji isipokuwa Telegramu na uonyeshe kuwa watumiaji wanaweza kufikia rasilimali iliyoundwa ya VPN.

Uthibitishaji wa mambo mawili katika OpenVPN na Telegram bot

Katika sehemu ya "Watumiaji", tengeneza watumiaji ambao watakuwa na ufikiaji wa VPN, waongeze kwenye kikundi cha "watumiaji wa VPN" na uwatumie kiungo ili kusanidi kipengele cha pili cha uthibitishaji. Kuingia kwa mtumiaji lazima kulingane na kuingia kwenye seva ya VPN.

Uthibitishaji wa mambo mawili katika OpenVPN na Telegram bot

Kuanzisha seva ya OpenVPN

Fungua faili /etc/openvpn/server.conf na ongeza programu-jalizi ya uthibitishaji kwa kutumia moduli ya PAM

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Programu-jalizi inaweza kupatikana kwenye saraka /usr/lib/openvpn/plugins/ au /usr/lib64/openvpn/plugins/ kulingana na mfumo wako.

Ifuatayo unahitaji kusakinisha moduli ya pam_radius_auth

$ sudo yum install pam_radius

Fungua faili kwa uhariri /etc/pam_radius.conf na taja anwani ya seva ya RADIUS ya Multifactor

radius.multifactor.ru   shared_secret   40

ambapo:

  • radius.multifactor.ru - anwani ya seva
  • shared_secret - nakala kutoka kwa parameta inayolingana ya mipangilio ya VPN
  • Sekunde 40 - kuisha kwa kusubiri ombi kwa kiasi kikubwa

Seva zilizosalia lazima zifutwe au zitolewe maoni (weka semicolon mwanzoni)

Ifuatayo, unda faili ya openvpn ya aina ya huduma

$ sudo vi /etc/pam.d/openvpn

na uandike ndani

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Mstari wa kwanza unaunganisha moduli ya PAM pam_radius_auth na vigezo:

  • skip_passwd - inalemaza upitishaji wa nenosiri la mtumiaji kwa seva ya RADIUS Multifactor (haitaji kuijua).
  • client_id - badilisha [NAS-Identifier] kwa kigezo sambamba kutoka kwa mipangilio ya rasilimali ya VPN.
    Vigezo vyote vinavyowezekana vimeelezewa ndani nyaraka za moduli.

Mstari wa pili na wa tatu ni pamoja na uthibitishaji wa mfumo wa kuingia, nenosiri na haki za mtumiaji kwenye seva yako pamoja na kipengele cha pili cha uthibitishaji.

Anzisha tena OpenVPN

$ sudo systemctl restart openvpn@server

Mpangilio wa mteja

Jumuisha ombi la kuingia kwa mtumiaji na nenosiri katika faili ya usanidi ya mteja

auth-user-pass

ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ°

Zindua mteja wa OpenVPN, unganisha kwenye seva, ingiza jina lako la mtumiaji na nenosiri. Boti ya Telegraph itatuma ombi la ufikiaji na vifungo viwili

Uthibitishaji wa mambo mawili katika OpenVPN na Telegram bot

Kitufe kimoja kinaruhusu ufikiaji, pili huizuia.

Sasa unaweza kuhifadhi nenosiri lako kwa usalama kwa mteja; jambo la pili litalinda seva yako ya OpenVPN kwa njia salama dhidi ya ufikiaji ambao haujaidhinishwa.

Ikiwa kitu haifanyi kazi

Hakikisha kuwa haujakosa chochote:

  • Kuna mtumiaji kwenye seva aliye na OpenVPN na seti ya nenosiri
  • Seva ina ufikiaji kupitia bandari ya UDP 1812 hadi radius.multifactor.ru ya anwani
  • Kitambulisho cha NAS na vigezo vya Siri Iliyoshirikiwa vimebainishwa kwa usahihi
  • Mtumiaji aliye na kuingia sawa ameundwa katika mfumo wa Multifactor na amepewa idhini ya kufikia kikundi cha watumiaji wa VPN
  • Mtumiaji amesanidi mbinu ya uthibitishaji kupitia Telegram

Ikiwa hujawahi kusanidi OpenVPN hapo awali, soma makala ya kina.

Maagizo yanafanywa kwa mifano kwenye CentOS 7.

Chanzo: mapenzi.com

Kuongeza maoni