如何配置OpenVPN使用WiKID强认证

如何配置OpenVPN以使用WiKID强身份验证

这些说明描述了使用WiKID Strong Authentication进行双因素身份验证 ,该身份验证是使用Radius可插入身份验证模块的Linux服务器上的商业/开源双因素身份验证系统和OpenVPN(SSL加密VPN)。首先,我们将配置PAM使用Radius,然后我们将配置OpenVPN使用PAM和一次性密码,然后我们将在OpenVPN的WiKID服务器上创建一个网络客户端。 我们不会详细介绍安装这些服务,而是将重点放在配置这些服务上。

配置PAM

首先,您需要安装PAM Radius。 在PAM Radius主页上有很好的文档。 根据您的分布情况,您也可以找到合适的二进制文件。

编辑 /etc/pam.d/sshd以允许Radius身份验证:
vi /etc/pam.d/sshd

转到文件的第二行,点击Insert键或i键并插入以下行:

auth     sufficient   /lib/security/pam_radius_auth.so 

就在这一行之上:

auth     required     pam_stack.so service=system-auth

“足够”标签表示如果Radius认证成功,则不需要额外的身份验证。 但是,如果Radius身份验证失败,系统中的用户名和密码将起作用。 使用“必需”要求强身份验证。 因为我们只是编辑sshd文件,它不会影响终端登录。

写文件并退出。 按Esc键退出插入模式并键入“ :wq

编辑或创建您的/ etc / raddb / server文件:

vi /etc/raddb/server

下方:

127.0.0.1   secret        1

添加此行,替换WiKID服务器的IP地址:

routableIPaddress   shared_secret     1

之后,我们将在WiKID服务器上配置一个网络客户端与PAM模块通话。 首先,我们来配置OpenVPN与PAM模块进行通信。

配置OpenVPN进行双因素身份验证

OpenVPN是一款优秀的开源VPN解决方案。 虽然它支持开箱即用的证书,但是您可能需要对监管要求进行真正的双重身份验证,或者您可能希望更易于管理解决方案,或者可能需要非VPN系统的一次性密码,例如SSH或Webmail。 幸运的是,OpenVPN很容易配置为支持一次性密码。

根据自己的优秀安装方式安装OpenVPN。

您将需要将服务器端配置为使用备用身份验证方法 ,只需将其添加到server.conf文件(验证openvpn-auth-pam.so的位置):

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
如果要删除客户端证书的要求,请添加以下内容:
client-cert-not-required
username-as-common-name

删除客户端证书的要求不会丢弃隧道加密! 这只是意味着不需要为每个用户提供单独的客户端证书。 它还增加了OpenVPN服务器的可扩展性。

然后,在客户端上,指定用户通过将其添加到client.conf或client.opvn来输入密码:

auth-user-pass

如果您在服务器上删除客户端证书的要求,则还应该在客户端上注释它们:

#cert client.crt
#key client.key

配置WiKID服务器

现在,我们将配置WiKID服务器来处理来自OpenVPN的一次性密码。 我们假设您还需要设置一个新的WiKID域。 如果你已经有了,你可以跳过这个部分。

登录WiKID服务器,然后单击“域”选项卡

单击创建新域

输入要求的信息。 域服务器代码是WiKID服务器的零填充IP地址。 因此,如果外部IP地址为216.239.51.99,则WiKID服务器代码将为216239051099.单击“创建”。 (显然,如果您已经有域设置,可以跳过此步骤。)

单击网络客户端选项卡和“创建新的网络客户端”。

输入要求的信息。 对于IP地址,请使用OpenVPN服务器的IP地址。 选择Radius和刚创建的域。 完成后点击“添加”。

在下一页中,输入您在OpenVPN服务器的/ etc / raddb / server文件中输入的共享密钥。 不必在“返回属性”下输入任何信息。

重要提示:从WiKID终端或通过SSH,您将需要运行“停止”,然后“开始”将新配置加载到WiKID Radius服务器中。

结论

这就对了。 您现在应该可以使用WiKID令牌客户端的一次性密码登录OpenVPN。 请注意,在此配置中,您还将使用WiKID进行SSH。 您可以考虑将OpenVPN服务器设置为SSH网关 - 要求WiKID登录到此框的SSH,然后允许对网络上的其他框使用密钥验证。 锁定这些框只允许从OpenVPN框访问,并且您有非常安全的SSH。 有关配置WiKID的其他信息, 请访问我们的网站

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏