🥇டெலிகிராம் பாட் மூலம் OpenVPN இல் இரண்டு காரணி அங்கீகாரம்

இணைக்கும் போது உறுதிப்படுத்தல் கோரிக்கையை அனுப்பும் டெலிகிராம் போட் மூலம் இரு காரணி அங்கீகாரத்தை இயக்க OpenVPN சேவையகத்தை அமைப்பதை கட்டுரை விவரிக்கிறது.

OpenVPN என்பது நன்கு அறியப்பட்ட, இலவச, திறந்த மூல VPN சேவையகமாகும், இது உள் நிறுவன ஆதாரங்களுக்கான பாதுகாப்பான பணியாளர் அணுகலை ஒழுங்கமைக்க பரவலாகப் பயன்படுத்தப்படுகிறது.

VPN சேவையகத்துடன் இணைப்பதற்கான அங்கீகாரமாக, விசை மற்றும் பயனர் உள்நுழைவு/கடவுச்சொல்லின் கலவையானது பொதுவாகப் பயன்படுத்தப்படுகிறது. அதே நேரத்தில், கிளையண்டில் சேமிக்கப்பட்ட கடவுச்சொல் முழு தொகுப்பையும் ஒரே காரணியாக மாற்றுகிறது, இது சரியான அளவிலான பாதுகாப்பை வழங்காது. ஒரு தாக்குபவர், கிளையன்ட் கணினிக்கான அணுகலைப் பெற்று, VPN சேவையகத்திற்கான அணுகலையும் பெறுகிறார். விண்டோஸில் இயங்கும் இயந்திரங்களின் இணைப்புகளுக்கு இது குறிப்பாக உண்மை.

இரண்டாவது காரணியைப் பயன்படுத்துவது அங்கீகரிக்கப்படாத அணுகலின் அபாயத்தை 99% குறைக்கிறது மற்றும் பயனர்களுக்கான இணைப்பு செயல்முறையை சிக்கலாக்காது.

இப்போதே முன்பதிவு செய்ய அனுமதிக்கிறேன்: செயல்படுத்த நீங்கள் மூன்றாம் தரப்பு அங்கீகார சேவையகத்தை multifactor.ru ஐ இணைக்க வேண்டும், அதில் உங்கள் தேவைகளுக்கு இலவச கட்டணத்தைப் பயன்படுத்தலாம்.

இது எப்படி வேலை

OpenVPN அங்கீகாரத்திற்காக openvpn-plugin-auth-pam செருகுநிரலைப் பயன்படுத்துகிறது
செருகுநிரல் சேவையகத்தில் பயனரின் கடவுச்சொல்லைச் சரிபார்த்து, மல்டிஃபாக்டர் சேவையில் உள்ள RADIUS நெறிமுறை வழியாக இரண்டாவது காரணியைக் கோருகிறது.
மல்டிஃபாக்டர், டெலிகிராம் பாட் வழியாக அணுகலை உறுதிப்படுத்தும் ஒரு செய்தியை பயனருக்கு அனுப்புகிறது
டெலிகிராம் அரட்டையில் அணுகல் கோரிக்கையை பயனர் உறுதிசெய்து VPN உடன் இணைக்கிறார்

OpenVPN சேவையகத்தை நிறுவுகிறது

OpenVPN ஐ நிறுவும் மற்றும் கட்டமைக்கும் செயல்முறையை விவரிக்கும் பல கட்டுரைகள் இணையத்தில் உள்ளன, எனவே நாங்கள் அவற்றை நகலெடுக்க மாட்டோம். உங்களுக்கு உதவி தேவைப்பட்டால், கட்டுரையின் முடிவில் பயிற்சிகளுக்கான பல இணைப்புகள் உள்ளன.

மல்டிஃபாக்டரை அமைத்தல்

செல்லவும் பல காரணி கட்டுப்பாட்டு அமைப்பு, "வளங்கள்" பகுதிக்குச் சென்று புதிய VPN ஐ உருவாக்கவும்.
உருவாக்கியதும், உங்களுக்கு இரண்டு விருப்பங்கள் கிடைக்கும்: NAS-அடையாளங்காட்டி и பகிரப்பட்ட ரகசியம், அவை அடுத்தடுத்த உள்ளமைவுக்குத் தேவைப்படும்.

"குழுக்கள்" பிரிவில், "அனைத்து பயனர்கள்" குழு அமைப்புகளுக்குச் சென்று "அனைத்து ஆதாரங்கள்" கொடியை அகற்றவும், இதனால் ஒரு குறிப்பிட்ட குழுவின் பயனர்கள் மட்டுமே VPN சேவையகத்துடன் இணைக்க முடியும்.

"VPN பயனர்கள்" என்ற புதிய குழுவை உருவாக்கவும், டெலிகிராம் தவிர அனைத்து அங்கீகார முறைகளையும் முடக்கவும் மற்றும் பயனர்கள் உருவாக்கிய VPN வளத்திற்கான அணுகலைக் குறிப்பிடவும்.

"பயனர்கள்" பிரிவில், VPN ஐ அணுகக்கூடிய பயனர்களை உருவாக்கவும், அவர்களை "VPN பயனர்கள்" குழுவில் சேர்த்து, அங்கீகாரத்தின் இரண்டாவது காரணியை உள்ளமைக்க அவர்களுக்கு இணைப்பை அனுப்பவும். பயனர் உள்நுழைவு VPN சேவையகத்தில் உள்ள உள்நுழைவுடன் பொருந்த வேண்டும்.

OpenVPN சேவையகத்தை அமைக்கிறது

கோப்பைத் திறக்கவும் /etc/openvpn/server.conf மற்றும் PAM தொகுதியைப் பயன்படுத்தி அங்கீகரிப்புக்காக ஒரு செருகுநிரலைச் சேர்க்கவும்

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

செருகுநிரலை அடைவில் காணலாம் /usr/lib/openvpn/plugins/ அல்லது /usr/lib64/openvpn/plugins/ உங்கள் அமைப்பைப் பொறுத்து.

அடுத்து நீங்கள் pam_radius_auth தொகுதியை நிறுவ வேண்டும்

$ sudo yum install pam_radius

திருத்துவதற்கு கோப்பைத் திறக்கவும் /etc/pam_radius.conf மற்றும் மல்டிஃபாக்டரின் RADIUS சேவையகத்தின் முகவரியைக் குறிப்பிடவும்

radius.multifactor.ru   shared_secret   40

எங்கே:

radius.multifactor.ru - சேவையக முகவரி
shared_secret - தொடர்புடைய VPN அமைப்புகள் அளவுருவிலிருந்து நகலெடுக்கவும்
40 வினாடிகள் - ஒரு பெரிய விளிம்புடன் கோரிக்கைக்காக காத்திருக்கும் நேரம் முடிந்தது

மீதமுள்ள சேவையகங்கள் நீக்கப்பட வேண்டும் அல்லது கருத்து தெரிவிக்க வேண்டும் (ஆரம்பத்தில் ஒரு அரைப்புள்ளி வைக்கவும்)

அடுத்து, சேவை வகை openvpnக்கான கோப்பை உருவாக்கவும்

$ sudo vi /etc/pam.d/openvpn

மற்றும் அதை எழுதவும்

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

முதல் வரி PAM தொகுதி pam_radius_auth ஐ அளவுருக்களுடன் இணைக்கிறது:

skip_passwd - பயனரின் கடவுச்சொல்லை RADIUS மல்டிஃபாக்டர் சேவையகத்திற்கு அனுப்புவதை முடக்குகிறது (அவர் அதை அறியத் தேவையில்லை).
client_id — [NAS-Identifier] ஐ VPN ஆதார அமைப்புகளிலிருந்து தொடர்புடைய அளவுருவுடன் மாற்றவும்.
சாத்தியமான அனைத்து அளவுருக்கள் விவரிக்கப்பட்டுள்ளன தொகுதிக்கான ஆவணங்கள்.

இரண்டாவது மற்றும் மூன்றாவது வரிகளில் உங்கள் சர்வரில் உள்நுழைவு, கடவுச்சொல் மற்றும் பயனர் உரிமைகளின் கணினி சரிபார்ப்பு மற்றும் இரண்டாவது அங்கீகார காரணி ஆகியவை அடங்கும்.

OpenVPN ஐ மறுதொடக்கம் செய்யவும்

$ sudo systemctl restart openvpn@server

கிளையண்ட் அமைப்பு

கிளையன்ட் உள்ளமைவு கோப்பில் பயனர் உள்நுழைவு மற்றும் கடவுச்சொல்லுக்கான கோரிக்கையைச் சேர்க்கவும்

auth-user-pass

ஆய்வு

OpenVPN கிளையண்டைத் துவக்கவும், சேவையகத்துடன் இணைக்கவும், உங்கள் பயனர்பெயர் மற்றும் கடவுச்சொல்லை உள்ளிடவும். டெலிகிராம் போட் இரண்டு பொத்தான்களுடன் அணுகல் கோரிக்கையை அனுப்பும்

ஒரு பொத்தான் அணுகலை அனுமதிக்கிறது, இரண்டாவது அதைத் தடுக்கிறது.

இப்போது நீங்கள் உங்கள் கடவுச்சொல்லை கிளையண்டில் பாதுகாப்பாகச் சேமிக்கலாம்; இரண்டாவது காரணி உங்கள் OpenVPN சேவையகத்தை அங்கீகரிக்கப்படாத அணுகலில் இருந்து நம்பகமான முறையில் பாதுகாக்கும்.

ஏதாவது வேலை செய்யவில்லை என்றால்

நீங்கள் எதையும் தவறவிடவில்லை என்பதை தொடர்ச்சியாகச் சரிபார்க்கவும்:

சேவையகத்தில் OpenVPN உடன் கடவுச்சொல் அமைக்கப்பட்ட ஒரு பயனர் இருக்கிறார்
சேவையகத்திற்கு UDP போர்ட் 1812 வழியாக radius.multifactor.ru என்ற முகவரிக்கு அணுகல் உள்ளது.
NAS-அடையாளங்காட்டி மற்றும் பகிரப்பட்ட இரகசிய அளவுருக்கள் சரியாகக் குறிப்பிடப்பட்டுள்ளன
மல்டிஃபாக்டர் அமைப்பில் அதே உள்நுழைவைக் கொண்ட ஒரு பயனர் உருவாக்கப்பட்டு, VPN பயனர் குழுவிற்கு அணுகல் வழங்கப்பட்டுள்ளது.
பயனர் டெலிகிராம் வழியாக அங்கீகார முறையை உள்ளமைத்துள்ளார்

நீங்கள் இதற்கு முன் OpenVPN ஐ அமைக்கவில்லை என்றால், படிக்கவும் விரிவான கட்டுரை.

CentOS 7 இல் உள்ள எடுத்துக்காட்டுகளுடன் அறிவுறுத்தல்கள் செய்யப்பட்டுள்ளன.

ஆதாரம்: www.habr.com