مضمون میں ٹیلیگرام بوٹ کے ساتھ دو عنصر کی توثیق کو فعال کرنے کے لیے ایک OpenVPN سرور ترتیب دینے کی وضاحت کی گئی ہے جو منسلک ہونے پر تصدیق کی درخواست بھیجے گا۔
OpenVPN ایک معروف، مفت، اوپن سورس VPN سرور ہے جو بڑے پیمانے پر اندرونی تنظیمی وسائل تک ملازمین کی محفوظ رسائی کو منظم کرنے کے لیے استعمال ہوتا ہے۔
VPN سرور سے جڑنے کی توثیق کے طور پر، ایک کلید اور صارف لاگ ان/پاس ورڈ کا مجموعہ عام طور پر استعمال کیا جاتا ہے۔ ایک ہی وقت میں، کلائنٹ پر ذخیرہ شدہ پاس ورڈ پورے سیٹ کو ایک واحد عنصر میں بدل دیتا ہے جو مناسب سطح کی حفاظت فراہم نہیں کرتا ہے۔ ایک حملہ آور، کلائنٹ کمپیوٹر تک رسائی حاصل کرنے کے بعد، VPN سرور تک بھی رسائی حاصل کرتا ہے۔ یہ خاص طور پر ونڈوز چلانے والی مشینوں کے کنکشن کے لیے درست ہے۔
دوسرے عنصر کا استعمال غیر مجاز رسائی کے خطرے کو 99٪ تک کم کرتا ہے اور صارفین کے لیے کنکشن کے عمل کو بالکل بھی پیچیدہ نہیں کرتا ہے۔
مجھے فوری طور پر ایک ریزرویشن کرنے دیں: عمل درآمد کے لیے آپ کو تھرڈ پارٹی توثیقی سرور multifactor.ru کو جوڑنے کی ضرورت ہوگی، جس میں آپ اپنی ضروریات کے لیے مفت ٹیرف استعمال کر سکتے ہیں۔
آپریشن کا اصول
- OpenVPN توثیق کے لیے openvpn-plugin-auth-pam پلگ ان کا استعمال کرتا ہے
- پلگ ان سرور پر صارف کا پاس ورڈ چیک کرتا ہے اور ملٹی فیکٹر سروس میں RADIUS پروٹوکول کے ذریعے دوسرے عنصر کی درخواست کرتا ہے۔
- ملٹی فیکٹر صارف کو ٹیلیگرام بوٹ کے ذریعے رسائی کی تصدیق کرنے والا پیغام بھیجتا ہے۔
- صارف ٹیلی گرام چیٹ میں رسائی کی درخواست کی تصدیق کرتا ہے اور وی پی این سے جڑ جاتا ہے۔
اوپن وی پی این سرور انسٹال کرنا
انٹرنیٹ پر بہت سے مضامین ہیں جو OpenVPN کو انسٹال کرنے اور ترتیب دینے کے عمل کو بیان کرتے ہیں، لہذا ہم ان کی نقل نہیں بنائیں گے۔ اگر آپ کو مدد کی ضرورت ہو تو، مضمون کے آخر میں سبق کے کئی لنکس موجود ہیں۔
ملٹی فیکٹر کو ترتیب دینا
جائیں ، "وسائل" سیکشن پر جائیں اور ایک نیا VPN بنائیں۔
ایک بار بننے کے بعد، آپ کے پاس دو اختیارات دستیاب ہوں گے: NAS- شناخت کنندہ и مشترکہ راز، وہ بعد کی ترتیب کے لیے درکار ہوں گے۔
"گروپز" سیکشن میں، "تمام صارفین" گروپ کی ترتیبات پر جائیں اور "تمام وسائل" کے جھنڈے کو ہٹا دیں تاکہ صرف ایک مخصوص گروپ کے صارفین VPN سرور سے منسلک ہو سکیں۔
ایک نیا گروپ "VPN صارفین" بنائیں، ٹیلیگرام کے علاوہ تصدیق کے تمام طریقوں کو غیر فعال کریں اور اس بات کی نشاندہی کریں کہ صارفین کو تخلیق کردہ VPN وسائل تک رسائی حاصل ہے۔
"صارفین" سیکشن میں، ایسے صارفین بنائیں جنہیں VPN تک رسائی حاصل ہو گی، انہیں "VPN صارفین" گروپ میں شامل کریں اور تصدیق کے دوسرے عنصر کو ترتیب دینے کے لیے انہیں ایک لنک بھیجیں۔ صارف کا لاگ ان VPN سرور پر لاگ ان سے مماثل ہونا چاہیے۔
ایک OpenVPN سرور ترتیب دینا
فائل کھولیں۔ /etc/openvpn/server.conf اور PAM ماڈیول کا استعمال کرتے ہوئے تصدیق کے لیے ایک پلگ ان شامل کریں۔
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpnپلگ ان ڈائریکٹری میں واقع ہو سکتا ہے۔ /usr/lib/openvpn/plugins/ یا /usr/lib64/openvpn/plugins/ آپ کے سسٹم پر منحصر ہے۔
اس کے بعد آپ کو pam_radius_auth ماڈیول انسٹال کرنے کی ضرورت ہے۔
$ sudo yum install pam_radiusترمیم کے لیے فائل کھولیں۔ /etc/pam_radius.conf اور ملٹی فیکٹر کے RADIUS سرور کا پتہ بتائیں
radius.multifactor.ru shared_secret 40جہاں:
- radius.multifactor.ru — سرور کا پتہ
- shared_secret - متعلقہ VPN ترتیبات پیرامیٹر سے کاپی کریں۔
- 40 سیکنڈ - بڑے مارجن کے ساتھ درخواست کے انتظار کا ٹائم آؤٹ
باقی سرورز کو حذف یا تبصرہ کرنا ضروری ہے (شروع میں سیمی کالون لگائیں)
اگلا، سروس کی قسم کے اوپن وی پی این کے لیے ایک فائل بنائیں
$ sudo vi /etc/pam.d/openvpnاور اس میں لکھیں
auth required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth substack password-auth
account substack password-authپہلی لائن PAM ماڈیول pam_radius_auth کو پیرامیٹرز کے ساتھ جوڑتی ہے:
- skip_passwd - RADIUS Multifactor سرور پر صارف کے پاس ورڈ کی منتقلی کو غیر فعال کرتا ہے (اسے جاننے کی ضرورت نہیں ہے)۔
- client_id — [NAS-Identifier] کو VPN وسائل کی ترتیبات سے متعلقہ پیرامیٹر سے بدل دیں۔
تمام ممکنہ پیرامیٹرز میں بیان کیا گیا ہے۔ .
دوسری اور تیسری لائنوں میں آپ کے سرور پر لاگ ان، پاس ورڈ اور صارف کے حقوق کی نظام کی تصدیق کے ساتھ دوسرے تصدیقی عنصر شامل ہیں۔
اوپن وی پی این کو دوبارہ شروع کریں۔
$ sudo systemctl restart openvpn@serverکلائنٹ سیٹ اپ
کلائنٹ کنفیگریشن فائل میں صارف لاگ ان اور پاس ورڈ کی درخواست شامل کریں۔
auth-user-passПроверка
اوپن وی پی این کلائنٹ لانچ کریں، سرور سے جڑیں، اپنا صارف نام اور پاس ورڈ درج کریں۔ ٹیلیگرام بوٹ دو بٹنوں کے ساتھ رسائی کی درخواست بھیجے گا۔
ایک بٹن رسائی کی اجازت دیتا ہے، دوسرا اسے روکتا ہے۔
اب آپ کلائنٹ پر اپنا پاس ورڈ محفوظ طریقے سے محفوظ کر سکتے ہیں؛ دوسرا عنصر قابل اعتماد طریقے سے آپ کے OpenVPN سرور کو غیر مجاز رسائی سے محفوظ رکھے گا۔
اگر کچھ کام نہیں کرتا ہے۔
ترتیب وار چیک کریں کہ آپ نے کچھ بھی نہیں چھوڑا ہے:
- سرور پر اوپن وی پی این کے ساتھ پاس ورڈ سیٹ کے ساتھ ایک صارف موجود ہے۔
- سرور کو UDP پورٹ 1812 کے ذریعے radius.multifactor.ru ایڈریس تک رسائی حاصل ہے۔
- NAS-Identifier اور Shared Secret پیرامیٹرز درست طریقے سے بیان کیے گئے ہیں۔
- ملٹی فیکٹر سسٹم میں ایک ہی لاگ ان کے ساتھ ایک صارف بنایا گیا ہے اور اسے VPN صارف گروپ تک رسائی دی گئی ہے۔
- صارف نے توثیق کا طریقہ ٹیلی گرام کے ذریعے ترتیب دیا ہے۔
اگر آپ نے پہلے اوپن وی پی این سیٹ اپ نہیں کیا ہے تو پڑھیں .
ہدایات CentOS 7 پر مثالوں کے ساتھ بنائی گئی ہیں۔
ماخذ: www.habr.com