Настройка OpenVPN

Модуль PAM to RADIUS — свободное программное обеспечение, которое позволяет любому серверу на Linux стать клиентом RADIUS для аутентификации. Чтобы настроить взаимодействие между серверами RADIUS Proxy и OpenVPN, выполните шаги по инструкции. 

Установка модуля

  1. Откройте терминал.
  2. Установите модуль.

    # Debian, Ubuntu
    sudo apt-get install libpam-radius-auth

При использовании иного дистрибутива Linux предварительно установите пакет epel-release. В зависимости от дистрибутива название модуля для установки может отличаться.

# CentOS, RedHat, Fedora, AlmaLinux
pam_radius

Настройка сервера OpenVPN

  1. Откройте файл конфигурации сервера OpenVPN.

    nano /etc/openvpn/server.conf

  2. Добавьте в файл строку для подключения модуля.

    plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

    В зависимости от дистрибутива Linux модуль  openvpn-plugin-auth-pam.so размещается в разных местах.

    Чтобы найти место установки, выполните команды:
     

    cd /
    find . -name openvpn-plugin-auth-pam.so

     

  3. Сохраните изменения.

Настройка модуля

  1. Откройте файл конфигурации модуля.

     

    nano /etc/pam_radius_auth.conf

  2. Допишите в файл строку:
    • Адрес RADIUS-сервера в формате IP[:port]. По умолчанию порт 1812, если не указан другой.
    • Общий секрет RADIUS-сервера.
    • Время ожидания пользовательской аутентификации. Рекомендуемое время – 60 (секунд).

     

    # Пример
    192.168.56.1:1812 secret 60

  3. Удалите из файла конфигурации примеры серверов.
  4. Сохраните изменения.

Настройка взаимодействия сервера с модулем

  1. Откройте файл конфигурации взаимодействия между OpenVPN и модулем.

     

    nano /etc/pam.d/openvpn

  2. Добавьте в файл строки обязательной аутентификации, а также пропуска обработки аккаунта и сессии.

     

    auth required pam_radius_auth.so
    account sufficient pam_permit.so
    session sufficient pam_permit.so

  3. Сохраните изменения.

Настройка клиента OpenVPN

  1. Откройте файл конфигурации клиента.
  2. Добавьте в файл строку с запросом логина и пароля.

     

    auth-user-pass

  3. Сохраните изменения.