使用WiKID强认证服务器向OpenVPN AS添加双因素身份验证

使用WiKID强认证服务器为OpenVPN AS添加双因素身份验证

WiKID ,我们的目标是使安全性更轻松,更便宜。 配置WiKID与双因素身份验证和OpenVPN AS是一个非常具有成本效益的解决方案,以最小的费用来保护您的网络。

下载了OpenVPN Access Server的RPM版本,并将RPM放到Centos VM上。 我以前使用我们的企业ISO配置了一个WiKID双因素认证服务器。

OpenVPN服务器在安装时进行配置,并指示您更改openvpn用户的密码,并将其引导至Openvpn AS Web界面。

通过管理Web界面配置服务器

在您指定的接口和端口上进入Web界面。 使用root或您以上提供的任何凭据登录。

一旦您登录,单击验证 - >常规链接,然后选择半径进行身份验证:

一旦指定要使用Radius,单击Radius链接以输入详细信息。 当您提交信息时,系统将提示您更新正在运行的服务器。 不要打扰那个。

单击身份验证下的Radius链接将WiKID服务器添加为双因素身份验证资源。 输入WiKID服务器的IP地址和共享密钥。 请注意,已知有针对CHAP和MS-Chap V2的攻击。 其中一些是基于能够将用户的密码从被盗的会话数据中解密。 使用一次性密码可能会降低风险,但这可能取决于您的会话长度。 希望OpenVPN很快加入LEAP。

那就是OpenVPN服务器。

配置WiKID服务器

为了简洁起见,我们假设您的WiKID服务器已配置,只需将Openvpn AS服务器添加为网络客户端即可。 (有关完整的安装文件,请参阅我们的安装手册 。)

在WiKIDAdmin界面的网络客户端选项卡上,单击“添加新的网络客户端:”。 给它一个名字,输入OpenVPN服务器的IP地址,选择Radius作为认证协议并选择WiKID域。

单击修改并在下一页输入共享密钥。 不要使用任何半径返回属性。 OpenVPN不支持它们。

您需要重新启动WiKID服务器才能加载新的半径配置:

# wikidctl restart

这就是服务器!

配置客户端

OpenVPN AS拥有的新功能之一是自动创建的客户端配置。 用户登录到Web界面并下载客户端应用程序(对于Windows)和配置文件。

首先启动WiKID令牌,并从WiKID服务器获取一次性密码:

输入您的PIN码:

PIN将被加密并发送到WiKID服务器。 如果帐户处于活动状态,加密有效且PIN码正确,将会创建一次性密码并返回到令牌:

使用此一次性密码作为用户登录到Web界面:

现在您将看到客户的网页:

对于linux客户端,您应该可以通过yum或apt-get安装openvpn。 然后从命令行运行客户端,指定客户端配置文件:

# openvpn --config client.ovpn

你现在应该有一个内部的ip地址!

看到一个伟大的产品,如OpenVPN是非常好的变得更好。 新的半径管理界面很简单。 随着企业攻击,密码漏洞和恶意软件的不断增加,您绝对需要考虑在VPN中添加双重身份验证。

有关

为您的域的Google Apps添加双因素身份验证

如何向Freeradius添加双因素身份验证

Centos 5.2上的OpenVPN

OpenVPN网站

WiKID系统网站

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏