Архив метки: openvpn

Исключения для двухфакторной аутентификации OpenVpn

В статье Двухфакторная аутентификация OpenVpn клиентов (OpenVpn + Google Authenticator) на CentOs 7/8 подробно описано как настроить двухфакторную аутентификацию для клиентов open-vpn.

Ниже описано как сделать исключения.

Допустим, что не требуется использовать двухфакторную аутентификацию для клиента с именем client1 и для любого клиента, который подключается с публичного ip 111.111.111.111


1. Для удобства создадим группу пользователей, для которых будет отключена двухфакторная аутентификация и добавим пользователя client1 в неё:

groupadd no2fa
usermod -g no2fa client1

2. Создадим файл, в котором опишем правила исключения:

nano /etc/security/no2fa.conf
# Содержимое файла:
# No 2fa:
+ : (no2fa) : ALL # Входящие в группу no2fa с любым IP
+ : ALL : 111.111.111.111 # Любые пользователи с IP 111.111.111.111
# All other hosts need two step verification
- : ALL : ALL

3. В файл /etc/pam.d/openvpn добавляем первой строкой:

auth [success=done default=ignore] pam_access.so accessfile=/etc/security/no2fa.conf

Перезапускаем openvpn-server и правила исключений будут работать.

Использованы материалы — https://serverfault.com/questions/799657/ssh-google-authenticator-ignore-whitelist-ips

0

Двухфакторная аутентификация OpenVpn клиентов (OpenVpn + Google Authenticator) на CentOs 7/8

1. Устанавливаем необходимые компоненты для работы и настройки OpenVpn:

yum install epel-release
yum -y --enablerepo=epel install openvpn easy-rsa nano
cd /etc/openvpn/
mkdir ccd
mkdir clients

Для более удобной работы с easy-rsa копируем все его файлы в /etc/openvpn/easy-rsa/

cp -a /usr/share/easy-rsa/3.0.3 /etc/openvpn/easy-rsa

Важно! Если у вас CentOs 8 то в репозитории нет easy-rsa, устанавливается так:

yum -y install unzip zip wget
cd ~
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
unzip master.zip
cp -a easy-rsa-master/easyrsa3/ /etc/openvpn/easy-rsa/

Читать далее

0