In un tutorial precedente, abbiamo mostrato come configurare PAM-RADIUS per supportare l'autenticazione a due fattori. Ora, e nei tutorial futuri, aggiungeremo servizi di accesso remoto a questo server che utilizzerà anche WiKID per l'autenticazione a due fattori. In questo tutorial, dimostreremo come sfruttare tale configurazione per aggiungere l'autenticazione a due fattori tramite raggio a OpenVPN su Centos 7.
Oltre a pubblicare questo tutorial, stiamo anche rilasciando script di compressione che possono creare automaticamente appliance virtuali come descritto in questo tutorial.
Installa il software.
Inizia installando il repository EPEL:
wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-1.noarch.rpm
rpm -ivh epel-release-7-1.noarch.rpm
Ora installa openvpn e easy-rsa:
yum install openvpn easy-rsa
Configura OpenVPN
Passare alla directory di esempio e copiare il file di configurazione di esempio in /etc/openvpn:
cd /usr/share/doc/openvpn-2.3.2/sample/
cp server.conf /etc/openvpn/fqdn.conf
dove fqdn è il nome del tuo server. Non deve essere il nome di dominio completo. Lo usi solo per avviarlo tramite systemctl.
Crea nuovi certificati
mkdir -p /etc/openvpn/easy-rsa/keys/p>
cp /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa
Modifica il tuo file vars, in particolare i campi per il certificato. Quindi, esegui i comandi del certificato.
cd /etc/openvpn/easy-rsa/
source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
Copia i file risultanti in /etc/openvpn o modifica il file fqdn.conf per riflettere la loro posizione.
Crea un certificato cliente:
./build-key client
Modifica il file fqnd.conf e aggiungi le seguenti righe in fondo:
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so sshd client-cert-not-required username-as-common-name
Configura Firewalld per Openvpn:
firewall-cmd --add-service openvpn
firewall-cmd --permanent --add-service openvpn
firewall-cmd --add-masquerade
firewall-cmd --permanent --add-masquerade
Ora avvia openvpn:
systemctl start [email protected]
systemctl enable [email protected]
Questo è tutto. Dovresti essere in grado di scaricare il certificato client sul tuo computer e testare l'accesso utilizzando il tuo token WiKID. Nota che puoi eseguire il server openvpn usando 'openvpn /etc/openvpn/fqdn.conf' per risolvere i problemi. Lo stesso per il cliente.
Configurazione client
Sul client, aggiungi semplicemente la riga 'auth-user-pass' alla configurazione del client per forzarlo a richiedere una password. Aggiungi "auth-user-pass" al file di configurazione del client. Inserisci il tuo nome utente come elencato in WiKID e il tuo passcode monouso WiKID quando richiesto sul client. PAM-RADIUS inoltrerà le credenziali di autenticazione a WiKID direttamente o tramite un server RADIUS a seconda della tua configurazione.
Script di packer
Packer è uno strumento che crea appliance virtuali in vari formati come VirtualBox, VMware, EC2, Google Compute, ecc. Per istruzioni complete, consulta Creare un'appliance virtuale della community OpenVPN predisposta per 2FA.