如何配置OpenVPN使用WiKID强认证

如何配置OpenVPN以使用WiKID强身份验证

这些说明描述了使用WiKID Strong Authentication进行双因素身份验证 ，该身份验证是使用Radius可插入身份验证模块的Linux服务器上的商业/开源双因素身份验证系统和OpenVPN（SSL加密VPN）。首先，我们将配置PAM使用Radius，然后我们将配置OpenVPN使用PAM和一次性密码，然后我们将在OpenVPN的WiKID服务器上创建一个网络客户端。 我们不会详细介绍安装这些服务，而是将重点放在配置这些服务上。

配置PAM

首先，您需要安装PAM Radius。 在PAM Radius主页上有很好的文档。 根据您的分布情况，您也可以找到合适的二进制文件。

编辑 /etc/pam.d/sshd以允许Radius身份验证：

vi /etc/pam.d/sshd

转到文件的第二行，点击Insert键或i键并插入以下行：

auth     sufficient   /lib/security/pam_radius_auth.so 

就在这一行之上：

auth     required     pam_stack.so service=system-auth

“足够”标签表示如果Radius认证成功，则不需要额外的身份验证。 但是，如果Radius身份验证失败，系统中的用户名和密码将起作用。 使用“必需”要求强身份验证。 因为我们只是编辑sshd文件，它不会影响终端登录。

写文件并退出。 按Esc键退出插入模式并键入“ ：wq ”

编辑或创建您的/ etc / raddb / server文件：

vi /etc/raddb/server

下方：

127.0.0.1   secret        1

添加此行，替换WiKID服务器的IP地址：

routableIPaddress   shared_secret     1

之后，我们将在WiKID服务器上配置一个网络客户端与PAM模块通话。 首先，我们来配置OpenVPN与PAM模块进行通信。

配置OpenVPN进行双因素身份验证

OpenVPN是一款优秀的开源VPN解决方案。 虽然它支持开箱即用的证书，但是您可能需要对监管要求进行真正的双重身份验证，或者您可能希望更易于管理解决方案，或者可能需要非VPN系统的一次性密码，例如SSH或Webmail。 幸运的是，OpenVPN很容易配置为支持一次性密码。

根据自己的优秀安装方式安装OpenVPN。

您将需要将服务器端配置为使用备用身份验证方法 ，只需将其添加到server.conf文件（验证openvpn-auth-pam.so的位置）：

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login

如果要删除客户端证书的要求，请添加以下内容：

client-cert-not-required
username-as-common-name

删除客户端证书的要求不会丢弃隧道加密！ 这只是意味着不需要为每个用户提供单独的客户端证书。 它还增加了OpenVPN服务器的可扩展性。

然后，在客户端上，指定用户通过将其添加到client.conf或client.opvn来输入密码：

auth-user-pass

如果您在服务器上删除客户端证书的要求，则还应该在客户端上注释它们：

#cert client.crt
#key client.key

配置WiKID服务器

现在，我们将配置WiKID服务器来处理来自OpenVPN的一次性密码。 我们假设您还需要设置一个新的WiKID域。 如果你已经有了，你可以跳过这个部分。

登录WiKID服务器，然后单击“域”选项卡

单击创建新域

输入要求的信息。 域服务器代码是WiKID服务器的零填充IP地址。 因此，如果外部IP地址为216.239.51.99，则WiKID服务器代码将为216239051099.单击“创建”。 （显然，如果您已经有域设置，可以跳过此步骤。）

单击网络客户端选项卡和“创建新的网络客户端”。

输入要求的信息。 对于IP地址，请使用OpenVPN服务器的IP地址。 选择Radius和刚创建的域。 完成后点击“添加”。

在下一页中，输入您在OpenVPN服务器的/ etc / raddb / server文件中输入的共享密钥。 不必在“返回属性”下输入任何信息。

重要提示：从WiKID终端或通过SSH，您将需要运行“停止”，然后“开始”将新配置加载到WiKID Radius服务器中。

结论

这就对了。 您现在应该可以使用WiKID令牌客户端的一次性密码登录OpenVPN。 请注意，在此配置中，您还将使用WiKID进行SSH。 您可以考虑将OpenVPN服务器设置为SSH网关 - 要求WiKID登录到此框的SSH，然后允许对网络上的其他框使用密钥验证。 锁定这些框只允许从OpenVPN框访问，并且您有非常安全的SSH。 有关配置WiKID的其他信息， 请访问我们的网站 。