GNU/Linux >> Belajar Linux >  >> Cent OS

Amankan OpenVPN dengan otentikasi dua faktor dari WiKID di Centos 7

Dalam tutorial sebelumnya, kami menunjukkan cara mengkonfigurasi PAM-RADIUS untuk mendukung otentikasi dua faktor. Sekarang, dan di tutorial mendatang, kami akan menambahkan layanan akses jarak jauh ke server ini yang juga akan menggunakan WiKID untuk otentikasi dua faktor. Dalam tutorial ini, kami akan mendemonstrasikan cara memanfaatkan pengaturan itu untuk menambahkan otentikasi dua faktor melalui radius ke OpenVPN di Centos 7.

Selain memublikasikan tutorial ini, kami juga merilis skrip packer yang dapat secara otomatis membuat peralatan virtual seperti yang dijelaskan dalam tutorial ini.

Instal perangkat lunak.

Mulailah dengan menginstal repositori EPEL:

wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-1.noarch.rpm
rpm -ivh epel-release-7-1.noarch.rpm

Sekarang instal openvpn dan easy-rsa:

yum install openvpn easy-rsa

Konfigurasi OpenVPN

Ubah ke direktori sampel dan salin file konfigurasi sampel ke /etc/openvpn:

cd /usr/share/doc/openvpn-2.3.2/sample/ 
cp server.conf /etc/openvpn/fqdn.conf

di mana fqdn adalah nama server Anda. Tidak harus nama domain yang sepenuhnya memenuhi syarat. Anda cukup menggunakannya untuk memulainya melalui systemctl.

Buat sertifikat baru

mkdir -p /etc/openvpn/easy-rsa/keys/p> 
cp /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa

Edit file vars Anda, khususnya bidang untuk sertifikat. Kemudian, jalankan perintah sertifikat. 

cd /etc/openvpn/easy-rsa/
source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh

Salin file yang dihasilkan ke /etc/openvpn atau edit file fqdn.conf untuk mencerminkan lokasinya.

Buat sertifikat klien:

./build-key client

Edit file fqnd.conf dan tambahkan baris berikut ke bawah:

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so sshd
client-cert-not-required
username-as-common-name

Konfigurasikan Firewalld untuk Openvpn:

firewall-cmd --add-service openvpn 
firewall-cmd --permanent --add-service openvpn
firewall-cmd --add-masquerade
firewall-cmd --permanent --add-masquerade

Sekarang, mulai openvpn:

systemctl start [email protected]
systemctl enable [email protected]

Itu dia. Anda harus dapat mengunduh sertifikat klien ke mesin Anda dan menguji login menggunakan token WIKID Anda. Perhatikan bahwa Anda dapat menjalankan server openvpn menggunakan 'openvpn /etc/openvpn/fqdn.conf' untuk memecahkan masalah. Sama untuk klien.

 Konfigurasi Klien

Di klien, cukup tambahkan baris 'auth-user-pass' ke konfigurasi klien untuk memaksanya meminta kata sandi. Tambahkan "auth-user-pass" ke file konfigurasi klien. Masukkan nama pengguna Anda seperti yang tercantum di WiKID dan kode sandi satu kali WiKID Anda saat diminta di klien. PAM-RADIUS akan meneruskan kredensial autentikasi ke WiKID secara langsung atau melalui server radius bergantung pada konfigurasi Anda.

Skrip pengemas

Packer adalah alat yang membuat peralatan virtual dalam berbagai format seperti VirtualBox, VMware, EC2, Google Compute, dll.  Silakan lihat Membangun alat virtual komunitas OpenVPN yang siap 2FA untuk petunjuk lengkapnya.


Cent OS

  1. Bangun server OpenVPN/WiKID gabungan Anda sendiri untuk VPN dengan otentikasi dua faktor bawaan menggunakan Packer.

  2. Cara Mengamankan Nginx dengan Letsencrypt di Rocky Linux/Centos 8

  3. Amankan SSH menggunakan otentikasi dua faktor di Ubuntu 16.04

  1. Akses OpenVPN dari komputer klien

  2. Penyiapan server ProFTPD yang aman di CentOS 7 dengan TLS

  3. Amankan Nginx dengan Lets Encrypt di CentOS 7

  1. Amankan Apache dengan Lets Encrypt di CentOS 7

  2. Amankan Apache dengan Lets Encrypt di CentOS 8

  3. Amankan Nginx dengan Lets Encrypt di CentOS 8