V předchozím tutoriálu jsme si ukázali, jak nakonfigurovat PAM-RADIUS pro podporu dvoufaktorové autentizace. Nyní a v budoucích kurzech přidáme na tento server služby vzdáleného přístupu, které budou také používat WiKID pro dvoufaktorovou autentizaci. V tomto tutoriálu si ukážeme, jak využít toto nastavení k přidání dvoufaktorové autentizace prostřednictvím rádiusu do OpenVPN na Centos 7.
Kromě publikování tohoto tutoriálu také vydáváme skripty balíčků, které mohou automaticky vytvářet virtuální zařízení, jak je popsáno v tomto tutoriálu.
Nainstalujte software.
Začněte instalací úložiště EPEL:
wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-1.noarch.rpm
rpm -ivh epel-release-7-1.noarch.rpm
Nyní nainstalujte openvpn a easy-rsa:
yum install openvpn easy-rsa
Konfigurace OpenVPN
Přejděte do vzorového adresáře a zkopírujte vzorový konfigurační soubor do /etc/openvpn:
cd /usr/share/doc/openvpn-2.3.2/sample/
cp server.conf /etc/openvpn/fqdn.conf
kde fqdn je název vašeho serveru. Nemusí to být plně kvalifikovaný název domény. Stačí to použít ke spuštění přes systemctl.
Vytvořit nové certifikáty
mkdir -p /etc/openvpn/easy-rsa/keys/p>
cp /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa
Upravte svůj soubor vars, zejména pole pro certifikát. Poté spusťte příkazy certifikátu.
cd /etc/openvpn/easy-rsa/
source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
Zkopírujte výsledné soubory do /etc/openvpn nebo upravte soubor fqdn.conf tak, aby odpovídal jejich umístění.
Vytvořte klientský certifikát:
./build-key client
Upravte soubor fqnd.conf a přidejte na konec následující řádky:
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so sshd client-cert-not-required username-as-common-name
Konfigurace brány firewall pro Openvpn:
firewall-cmd --add-service openvpn
firewall-cmd --permanent --add-service openvpn
firewall-cmd --add-masquerade
firewall-cmd --permanent --add-masquerade
Nyní spusťte openvpn:
systemctl start [email protected]
systemctl enable [email protected]
A je to. Měli byste být schopni stáhnout klientský certifikát do vašeho počítače a otestovat přihlášení pomocí vašeho tokenu WiKID. Všimněte si, že server openvpn můžete spustit pomocí 'openvpn /etc/openvpn/fqdn.conf' k odstraňování problémů. Totéž pro klienta.
Konfigurace klienta
Na klientovi jednoduše přidejte řádek 'auth-user-pass' do konfigurace klienta a vynutíte tak požadavek na heslo. Přidejte "auth-user-pass" do konfiguračního souboru klienta. Zadejte své uživatelské jméno uvedené ve WiKID a svůj jednorázový přístupový kód WiKID na výzvu klienta. PAM-RADIUS předá ověřovací údaje WiKID přímo nebo prostřednictvím radius serveru v závislosti na vaší konfiguraci.
Skripty Packer
Packer je nástroj, který vytváří virtuální zařízení v různých formátech, jako je VirtualBox, VMware, EC2, Google Compute atd. Úplné pokyny naleznete v části Sestavení virtuálního zařízení komunity OpenVPN připravené na 2FA.