如何配置OpenVPN以使用WiKID强身份验证
这些说明描述了使用WiKID Strong Authentication进行双因素身份验证 ,该身份验证是使用Radius可插入身份验证模块的Linux服务器上的商业/开源双因素身份验证系统和OpenVPN(SSL加密VPN)。首先,我们将配置PAM使用Radius,然后我们将配置OpenVPN使用PAM和一次性密码,然后我们将在OpenVPN的WiKID服务器上创建一个网络客户端。 我们不会详细介绍安装这些服务,而是将重点放在配置这些服务上。
配置PAM
首先,您需要安装PAM Radius。 在PAM Radius主页上有很好的文档。 根据您的分布情况,您也可以找到合适的二进制文件。
编辑/etc/pam.d/sshd
以允许Radius身份验证:
vi /etc/pam.d/sshd
转到文件的第二行,点击Insert键或i键并插入以下行:
auth sufficient /lib/security/pam_radius_auth.so
就在这一行之上:
auth required pam_stack.so service=system-auth
“足够”标签表示如果Radius认证成功,则不需要额外的身份验证。 但是,如果Radius身份验证失败,系统中的用户名和密码将起作用。 使用“必需”要求强身份验证。 因为我们只是编辑sshd文件,它不会影响终端登录。
写文件并退出。 按Esc
键退出插入模式并键入“ :wq
”
编辑或创建您的/ etc / raddb / server
文件:
vi /etc/raddb/server
下方:
127.0.0.1 secret 1
添加此行,替换WiKID服务器的IP地址:
routableIPaddress shared_secret 1
之后,我们将在WiKID服务器上配置一个网络客户端与PAM模块通话。 首先,我们来配置OpenVPN与PAM模块进行通信。
配置OpenVPN进行双因素身份验证
OpenVPN是一款优秀的开源VPN解决方案。 虽然它支持开箱即用的证书,但是您可能需要对监管要求进行真正的双重身份验证,或者您可能希望更易于管理解决方案,或者可能需要非VPN系统的一次性密码,例如SSH或Webmail。 幸运的是,OpenVPN很容易配置为支持一次性密码。
根据自己的优秀安装方式安装OpenVPN。
您将需要将服务器端配置为使用备用身份验证方法 ,只需将其添加到server.conf文件(验证openvpn-auth-pam.so
的位置):
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login如果要删除客户端证书的要求,请添加以下内容:
client-cert-not-required username-as-common-name
删除客户端证书的要求不会丢弃隧道加密! 这只是意味着不需要为每个用户提供单独的客户端证书。 它还增加了OpenVPN服务器的可扩展性。
然后,在客户端上,指定用户通过将其添加到client.conf或client.opvn来输入密码:
auth-user-pass
如果您在服务器上删除客户端证书的要求,则还应该在客户端上注释它们:
#cert client.crt #key client.key
配置WiKID服务器
现在,我们将配置WiKID服务器来处理来自OpenVPN的一次性密码。 我们假设您还需要设置一个新的WiKID域。 如果你已经有了,你可以跳过这个部分。
登录WiKID服务器,然后单击“域”选项卡
单击创建新域
输入要求的信息。 域服务器代码是WiKID服务器的零填充IP地址。 因此,如果外部IP地址为216.239.51.99,则WiKID服务器代码将为216239051099.单击“创建”。 (显然,如果您已经有域设置,可以跳过此步骤。)
单击网络客户端选项卡和“创建新的网络客户端”。
输入要求的信息。 对于IP地址,请使用OpenVPN服务器的IP地址。 选择Radius和刚创建的域。 完成后点击“添加”。
在下一页中,输入您在OpenVPN服务器的/ etc / raddb / server文件中输入的共享密钥。 不必在“返回属性”下输入任何信息。
重要提示:从WiKID终端或通过SSH,您将需要运行“停止”,然后“开始”将新配置加载到WiKID Radius服务器中。
结论
这就对了。 您现在应该可以使用WiKID令牌客户端的一次性密码登录OpenVPN。 请注意,在此配置中,您还将使用WiKID进行SSH。 您可以考虑将OpenVPN服务器设置为SSH网关 - 要求WiKID登录到此框的SSH,然后允许对网络上的其他框使用密钥验证。 锁定这些框只允许从OpenVPN框访问,并且您有非常安全的SSH。 有关配置WiKID的其他信息, 请访问我们的网站 。