- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI/SSH)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- Palo Alto GlobalProtect
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
Защита удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией
Общая информация
Возможные способы аутентификации:
Мобильное приложение MultifactorTelegramЗвонок (нужно принять вызов и нажать #)Аппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.Ключ
Для настройки вам потребуется домен Active Directory, отдельный Linux сервер с установленным OpenVPN и настроить MULTIFACTOR Radius Adapter.
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль учетной записи.
- OpenVPN по протоколу RADIUS подтверждает корректность логина и пароля в Active Directory.
- Мультифактор присылает на телефон пользователя запрос для подтверждения доступа: push в Телеграм или звонок на который необходимо ответить и нажать #.
- Пользователь подтверждает запрос и подключается к VPN.
Настройка MULTIFACTOR
Зайдите в систему управления MULTIFACTOR, создайте новый ресурс "OpenVPN". После создания вам будут доступны два параметра: NAS Identifier и Shared Secret они понадобятся для дальнейшей настройки.
Настройка Active Directory
Загрузите и установите компонент MULTIFACTOR Radius Adapter. Компонент работает в качестве RADIUS сервера, получает запросы от OpenVPN и проверяет логин и пароль пользователя в домене.
Параметры компонента
Параметры работы компонента хранятся в файле MultiFactor.Radius.Adapter.exe.config в формате XML.
<!-- Адрес и порт (UDP) по которому адаптер будет принимать запросы на аутентификацию от OpenVPN --> <add key="adapter-server-endpoint" value="192.168.0.1:1812"/> <!-- Shared secret для аутентификации OpenVPN (из настроек Мультифактора) --> <add key="radius-shared-secret" value=""/> <!-- Где проверять логин и пароль пользователя: ActiveDirectory --> <add key="first-factor-authentication-source" value="ActiveDirectory"/> <!-- Домен--> <add key="active-directory-domain" value="domain.local"/> <!-- Проверять принадлежность пользователя к группе (не проверяется, если удалить настройку)--> <add key="active-directory-group" value="VPN Users"/> <!-- Адрес API Мультифактора --> <add key="multifactor-api-url" value="https://api.multifactor.ru"/> <!-- Параметр NAS-Identifier для подключения к API Мультифактора - из личного кабинета --> <add key="multifactor-nas-identifier" value=""/> <!-- Параметр Shared Secret для подключения к API Мультифактора - из личного кабинета --> <add key="multifactor-shared-secret" value=""/>
Запуск компонента
Компонент может работать в консольном режиме или в качестве службы Windows. Для запуска в консольном режиме достаточно запустить приложение.
Для установки, как Windows Service, выполните с ключом /i от имени Администратора
MultiFactor.Radius.Adapter.exe /i
и запустите службу
net start mfradiusadapter
Журналы
Журналы работы компонента находятся в папке Logs. Если их нет, удостоверьтесь, что папка доступна для записи пользователю Network Service.
Настройка OpenVPN
В первую очередь вам необходим Linux сервер с установленным OpenVPN. Сервер может быть CentOS, Ubuntu, Debian и тд. В нашем примере рассматривается CentOS, но для прочих систем отличия будут минимальными.
Сам процесс установки и первичной настройки OpenVPN мы не рассматриваем, так как на эту тему есть множество статей.
PAM_RADIUS
Установите модуль PAM_RADIUS
$ sudo yum -y install epel-release $ sudo yum -y install pam_radius
Откройте для редактирования файл /etc/pam_radius.conf и укажите адрес компонента Multifactor Radius Adapter и shared key.
192.168.0.1:1812 shared_secret 40
Примечание
Прочие сервера, если они есть по умолчанию в файле, необходимо удалить или закомментировать (поставить в начале #).
Настройка OpenVPN сервера
Откройте файл /etc/openvpn/server.conf и добавьте плагин для аутентификации с помощью PAM модуля
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn
Далее создайте файл проверки подлинности для openvpn
$ sudo vi /etc/pam.d/openvpn
и впишите в него
auth sufficient pam_radius_auth.so account sufficient pam_permit.so session sufficient pam_permit.so
Перезапустите OpenVPN сервер
$ sudo systemctl restart openvpn@server
В заключении
Рассмотренная в статье конфигурация обеспечивает необходимый уровень надежности и защиты для организации удаленного доступа с числом сотрудников от нескольких человек до нескольких тысяч. Кроме того, существенно упрощается администрирование, так как используется единый каталог учетных записей Active Directory. Использование второго фактора аутентификации от МУЛЬТИФАКТОР избавляет от необходимости выдавать каждому пользователю индивидуальный сертификат для подключения к OpenVPN.
