ProHoster > Telegram botlu OpenVPN'de iki faktörlü kimlik doğrulama
Telegram botlu OpenVPN'de iki faktörlü kimlik doğrulama
Makalede, bağlanırken onay isteği gönderecek bir Telegram botu ile iki faktörlü kimlik doğrulamayı etkinleştirmek için bir OpenVPN sunucusunun kurulması açıklanmaktadır.
OpenVPN, çalışanların dahili kurumsal kaynaklara güvenli erişimini düzenlemek için yaygın olarak kullanılan, iyi bilinen, ücretsiz, açık kaynaklı bir VPN sunucusudur.
Bir VPN sunucusuna bağlanmak için kimlik doğrulama olarak genellikle bir anahtar ve kullanıcı oturum açma adı/şifresinin birleşimi kullanılır. Aynı zamanda istemcide saklanan şifre, tüm seti yeterli düzeyde güvenlik sağlamayan tek bir faktöre dönüştürür. Bir istemci bilgisayara erişim sağlayan saldırgan, aynı zamanda VPN sunucusuna da erişim kazanır. Bu özellikle Windows çalıştıran makinelerden gelen bağlantılar için geçerlidir.
İkinci faktörün kullanılması, yetkisiz erişim riskini %99 oranında azaltır ve kullanıcılar için bağlantı sürecini hiçbir şekilde zorlaştırmaz.
Hemen bir rezervasyon yapayım: uygulama için, ihtiyaçlarınız için ücretsiz bir tarife kullanabileceğiniz üçüncü taraf bir kimlik doğrulama sunucusu multifactor.ru'ya bağlanmanız gerekecek.
Çalışma prensibi
OpenVPN, kimlik doğrulama için openvpn-plugin-auth-pam eklentisini kullanır
Eklenti, sunucudaki kullanıcının şifresini kontrol eder ve Multifactor hizmetindeki RADIUS protokolü aracılığıyla ikinci faktörü ister.
Multifactor, Telegram botu aracılığıyla kullanıcıya erişimi onaylayan bir mesaj gönderir
Kullanıcı, Telegram sohbetindeki erişim isteğini onaylar ve VPN'ye bağlanır
OpenVPN sunucusu kurma
İnternette OpenVPN'i kurma ve yapılandırma sürecini anlatan birçok makale var, bu yüzden bunları çoğaltmayacağız. Yardıma ihtiyacınız varsa makalenin sonunda öğreticilere yönelik çeşitli bağlantılar bulunmaktadır.
Multifactor'u ayarlama
Git Çok faktörlü kontrol sistemi, "Kaynaklar" bölümüne gidin ve yeni bir VPN oluşturun.
Oluşturulduktan sonra kullanabileceğiniz iki seçeneğiniz olacaktır: NAS Tanımlayıcı и Paylaşılan Sır, sonraki yapılandırma için gerekli olacaklardır.
"Gruplar" bölümünde, "Tüm kullanıcılar" grup ayarlarına gidin ve "Tüm kaynaklar" işaretini kaldırın, böylece yalnızca belirli bir grubun kullanıcıları VPN sunucusuna bağlanabilir.
Yeni bir "VPN kullanıcıları" grubu oluşturun, Telegram dışındaki tüm kimlik doğrulama yöntemlerini devre dışı bırakın ve kullanıcıların oluşturulan VPN kaynağına erişimi olduğunu belirtin.
"Kullanıcılar" bölümünde, VPN'ye erişimi olacak kullanıcıları oluşturun, bunları "VPN kullanıcıları" grubuna ekleyin ve onlara ikinci kimlik doğrulama faktörünü yapılandırmaları için bir bağlantı gönderin. Kullanıcı oturum açma bilgileri VPN sunucusundaki oturum açma bilgileriyle eşleşmelidir.
OpenVPN sunucusu kurma
Dosyayı aç /etc/openvpn/server.conf ve PAM modülünü kullanarak kimlik doğrulama için bir eklenti ekleyin
İlk satır pam_radius_auth PAM modülünü aşağıdaki parametrelere bağlar:
skip_passwd - kullanıcının şifresinin RADIUS Multifactor sunucusuna aktarımını devre dışı bırakır (bunu bilmesine gerek yoktur).
client_id - [NAS Tanımlayıcısı]'nı VPN kaynak ayarlarındaki ilgili parametreyle değiştirin.
Olası tüm parametreler şurada açıklanmıştır: modül için belgeler.
İkinci ve üçüncü satırlar, sunucunuzdaki kullanıcı adı, parola ve kullanıcı haklarının sistem doğrulamasının yanı sıra ikinci bir kimlik doğrulama faktörünü içerir.
OpenVPN'i yeniden başlatın
$ sudo systemctl restart openvpn@server
İstemci kurulumu
İstemci yapılandırma dosyasına kullanıcı adı ve parolası için bir istek ekleyin
auth-user-pass
Kontrol
OpenVPN istemcisini başlatın, sunucuya bağlanın, kullanıcı adınızı ve şifrenizi girin. Telegram botu iki düğmeyle bir erişim isteği gönderecek
Bir düğme erişime izin veriyor, ikincisi ise engelliyor.
Artık şifrenizi istemciye güvenle kaydedebilirsiniz; ikinci faktör, OpenVPN sunucunuzu yetkisiz erişime karşı güvenilir bir şekilde koruyacaktır.
Bir şey işe yaramazsa
Hiçbir şeyi kaçırmadığınızı sırayla kontrol edin:
OpenVPN'li sunucuda şifre ayarlanmış bir kullanıcı var
Sunucunun UDP bağlantı noktası 1812 üzerinden radius.multifactor.ru adresine erişimi vardır.
NAS Tanımlayıcı ve Paylaşılan Sır parametreleri doğru şekilde belirtildi
Multifactor sisteminde aynı oturum açma bilgilerine sahip bir kullanıcı oluşturuldu ve VPN kullanıcı grubuna erişim izni verildi
Kullanıcı kimlik doğrulama yöntemini Telegram aracılığıyla yapılandırdı