Аутентификатсияи ду омил дар OpenVPN бо боти Telegram

Дар мақола насб кардани сервери OpenVPN барои фаъол кардани аутентификатсияи ду омил бо боти Telegram, ки ҳангоми пайвастшавӣ дархости тасдиқро мефиристад, тавсиф мекунад.

OpenVPN як сервери маъруф, ройгон ва сарчашмаи кушодаи VPN мебошад, ки барои ташкили дастрасии бехатари кормандон ба захираҳои дохилии ташкилӣ васеъ истифода мешавад.

Ҳамчун аутентификатсия барои пайвастшавӣ ба сервери VPN, одатан маҷмӯи калид ва логин/пароли корбар истифода мешавад. Ҳамзамон, пароли дар мизоҷ нигоҳ дошташуда тамоми маҷмӯаро ба як омил табдил медиҳад, ки сатҳи дурусти амниятро таъмин намекунад. Ҳамлагар, ки ба компютери муштарӣ дастрасӣ пайдо кард, инчунин ба сервери VPN дастрасӣ пайдо мекунад. Ин махсусан барои пайвастшавӣ аз мошинҳое, ки Windows кор мекунанд, дуруст аст.

Истифодаи омили дуюм хатари дастрасии беиҷозатро 99% коҳиш медиҳад ва раванди пайвастшавиро барои корбарон умуман мушкил намекунад.

Иҷозат диҳед фавран фармоиш диҳам: барои татбиқ ба шумо лозим меояд, ки сервери аутентификатсияи тарафи сеюмро multifactor.ru пайваст кунед, ки дар он шумо метавонед тарофаи ройгонро барои эҳтиёҷоти худ истифода баред.

Чӣ тавр он кор мекунад

1. OpenVPN барои аутентификатсия плагини openvpn-plugin-auth-pam -ро истифода мебарад
2. Плагин пароли корбарро дар сервер тафтиш мекунад ва омили дуюмро тавассути протоколи RADIUS дар хидмати Multifactor дархост мекунад
3. Multifactor ба корбар тавассути боти Telegram паёме мефиристад, ки дастрасиро тасдиқ мекунад
4. Истифодабаранда дархости дастрасӣро дар чати Telegram тасдиқ мекунад ва ба VPN пайваст мешавад

Насб кардани сервери OpenVPN

Дар Интернет мақолаҳои зиёде мавҷуданд, ки раванди насб ва конфигуратсияи OpenVPN-ро тавсиф мекунанд, аз ин рӯ мо онҳоро такрор намекунем. Агар ба шумо кӯмак лозим бошад, дар охири мақола якчанд истинодҳо ба дарсҳо мавҷуданд.

Танзими Мултифактор

Гузаштан ба Системаи назорати бисёрсоҳавӣ, ба бахши "Захираҳо" гузаред ва VPN-и нав эҷод кунед.
Пас аз эҷод, шумо ду имконоти дастрас доред: NAS-идентификатор и Сирри муштарак, онҳо барои конфигуратсияи минбаъда талаб карда мешаванд.

Дар бахши "Гурӯҳҳо" ба танзимоти гурӯҳи "Ҳама корбарон" гузаред ва парчами "Ҳамаи захираҳо" -ро хориҷ кунед, то танҳо корбарони гурӯҳи муайян ба сервери VPN пайваст шаванд.

Гурӯҳи нави "Истифодабарандагони VPN" эҷод кунед, ҳама усулҳои аутентификатсияро ба ҷуз Telegram ғайрифаъол кунед ва нишон диҳед, ки корбарон ба манбаи сохташудаи VPN дастрасӣ доранд.

Дар бахши "Истифодабарандагон" корбароне эҷод кунед, ки ба VPN дастрасӣ дошта бошанд, онҳоро ба гурӯҳи "Истифодабарандагони VPN" илова кунед ва ба онҳо пайвандеро ирсол кунед, то омили дуввуми аутентификатсияро танзим кунанд. Воридшавии корбар бояд ба воридшавӣ дар сервери VPN мувофиқат кунад.

Насб кардани сервери OpenVPN

Файлро кушоед /etc/openvpn/server.conf ва илова плагин барои аутентификатсия бо истифода аз модули PAM

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

Васлкунакро дар директория ҷойгир кардан мумкин аст /usr/lib/openvpn/plugins/ ё /usr/lib64/openvpn/plugins/ вобаста ба системаи шумо.

Минбаъд шумо бояд модули pam_radius_auth -ро насб кунед

$ sudo yum install pam_radius

Файлро барои таҳрир кушоед /etc/pam_radius.conf ва суроғаи сервери RADIUS-и Мултифакторро муайян кунед

radius.multifactor.ru   shared_secret   40

ки:

• radius.multifactor.ru — суроғаи сервер
• shared_secret - аз параметри мувофиқи танзимоти VPN нусхабардорӣ кунед
• 40 сония - вақти интизории дархост бо маржаи калон

Серверҳои боқимонда бояд ҳазф карда шаванд ё шарҳ дода шаванд (дар аввал нуқта вергул гузоред)

Баъдан, файлеро барои намуди хидматрасонии openvpn эҷод кунед

$ sudo vi /etc/pam.d/openvpn

ва дар он нависед

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

Сатри аввал модули PAM pam_radius_auth-ро бо параметрҳо мепайвандад:

• skip_passwd - интиқоли пароли корбарро ба сервери RADIUS Multifactor ғайрифаъол мекунад (ба ӯ донистани он лозим нест).
• client_id — [NAS-Identifier] -ро бо параметри мувофиқ аз танзимоти манбаи VPN иваз кунед.
  Ҳама параметрҳои имконпазир дар зер тавсиф шудаанд ҳуҷҷатҳо барои модул.

Сатрҳои дуюм ва сеюм санҷиши системаи логин, парол ва ҳуқуқҳои корбарро дар сервери шумо дар якҷоягӣ бо омили дуввуми аутентификатсия дар бар мегиранд.

OpenVPN-ро аз нав оғоз кунед

$ sudo systemctl restart openvpn@server

Танзимоти муштарӣ

Дар файли конфигуратсияи муштарӣ дархост барои воридшавӣ ва пароли корбарро дохил кунед

auth-user-pass

тафтиш

Мизоҷи OpenVPN-ро оғоз кунед, ба сервер пайваст шавед, номи корбар ва пароли худро ворид кунед. Боти Telegram дархости дастрасӣ бо ду тугма мефиристад

Як тугма дастрасиро иҷозат медиҳад, дуюмаш онро блок мекунад.

Акнун шумо метавонед пароли худро дар муштарӣ бехатар захира кунед; омили дуюм сервери OpenVPN-и шуморо аз дастрасии беиҷозат муҳофизат мекунад.

Агар чизе кор накунад

Пайдарпай тафтиш кунед, ки шумо ҳеҷ чизро аз даст надодаед:

• Дар сервер корбар бо OpenVPN бо гузоштани парол мавҷуд аст
• Сервер тавассути бандари UDP 1812 ба суроғаи radius.multifactor.ru дастрасӣ дорад
• Параметрҳои NAS-Identifier ва Shared Secret дуруст нишон дода шудаанд
• Дар системаи Multifactor корбаре бо як логин сохта шудааст ва ба гурӯҳи корбарони VPN дастрасӣ дорад
• Корбар усули аутентификатсияро тавассути Telegram танзим кардааст

Агар шумо қаблан OpenVPN-ро насб накарда бошед, хонед мақолаи муфассал.

Дастурҳо бо мисолҳо дар CentOS 7 сохта шудаанд.

Манбаъ: will.com