Настройка OpenVPN

Модуль PAM to RADIUS — свободное программное обеспечение, которое позволяет любому серверу на Linux стать клиентом RADIUS для аутентификации. Чтобы настроить взаимодействие между серверами RADIUS Proxy и OpenVPN, выполните шаги по инструкции. 

Установка модуля

  1. Откройте терминал.
  2. Установите модуль.
    # Debian, Ubuntu
    sudo apt-get install libpam-radius-auth

     

При использовании иного дистрибутива Linux предварительно установите пакет epel-release. В зависимости от дистрибутива название модуля для установки может отличаться.

# CentOS, RedHat, Fedora, AlmaLinux
pam_radius

Настройка сервера OpenVPN

  1. Откройте файл конфигурации сервера OpenVPN.
    nano /etc/openvpn/server.conf

     

  2. Добавьте в файл строку для подключения модуля.

    plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

    В зависимости от дистрибутива Linux модуль  openvpn-plugin-auth-pam.so размещается в разных местах.
    Чтобы найти место установки, выполните команды:

    cd /
    find . -name openvpn-plugin-auth-pam.so

  3. Сохраните изменения.

Настройка модуля

  1. Откройте файл конфигурации модуля.

     

    nano /etc/pam_radius_auth.conf

     

  2. Допишите в файл строку:
    • Адрес RADIUS-сервера в формате IP[:port]. По умолчанию порт 1812, если не указан другой.
    • Общий секрет RADIUS-сервера.
    • Время ожидания пользовательской аутентификации. Рекомендуемое время – 60 (секунд).

     

    # Пример
    192.168.56.1:1812 secret 60

     

  3. Удалите из файла конфигурации примеры серверов.
  4. Сохраните изменения.

Настройка взаимодействия сервера с модулем

  1. Откройте файл конфигурации взаимодействия между OpenVPN и модулем.

     

    nano /etc/pam.d/openvpn

     

  2. Добавьте в файл строки обязательной аутентификации, а также пропуска обработки аккаунта и сессии.

     

    auth required pam_radius_auth.so
    account sufficient pam_permit.so
    session sufficient pam_permit.so

     

  3. Сохраните изменения.

Настройка клиента OpenVPN

  1. Откройте файл конфигурации клиента.
  2. Добавьте в файл строку с запросом логина и пароля.

     

    auth-user-pass

     

  3. Сохраните изменения.

Дополнительные возможности

Доступ к ресурсу по группам

Возможность используется в сценарии, когда требуется впускать или не впускать на настраиваемый ресурс по группе пользователя.

Работает только для RADIUS-прокси.

В файл «appsettings.json» добавьте блок «AuthorizationConfiguration»:

"AuthorizationConfiguration": {
        "AuthorizationStrategy" : "AllUsers" |  "NoOneWithExceptions" |  "AllUsersWithExceptions",
        "AdGroupExceptions": ["UserGroups1","UserGroups2","UserGroups3"]
    }
  1. AuthorizationStrategy — стратегия авторизации. Возможные значения:
    • AllUsers — впускать всех пользователей.
    • AllUsersWithExceptions — впускать тех, кто не входит в группы, перечисленные в списке исключений.
    • NoOneWithExceptions — не впускать никого, кроме тех, кто входит в группы, перечисленные в списке исключений.
  2. AdGroupExceptions — список групп.

После обновления «appsettings» нужно перезапустить RADIUS-прокси.


id

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель