user8021 Aug 6 2024 at 11:16

Двухфакторная аутентификация (OTP) в OpenVPN с использованием FreeRADIUS и LDAP

Hard

15 min

9.3K

IT Infrastructure*Open source*Information Security*Server Administration*System administration*

From sandbox

Comments 4

CodARM Aug 6 2024 at 11:33

Одно и то же... Похоже пора писать статью "Настройка 2FA openvpn без использования FreeRADIUS и LDAP". Там жеж проще простого, но почему-то нигде этого нет.

vesper-bot Apr 21 at 09:22

А как это "проще простого"? Я из альтернатив видел только запускать некий питон-скрипт, у которого БД сидов ТОТР в конфиг-json'е, для проверки или второго метода аутентификации, а все остальные делегируют проверку ТОТР на радиус.

CodARM Jun 26 at 10:25

Чую я никогда не напишу статью, итак:
В серверном конфиге
auth-user-pass-verify %patch%/2fa.sh via-env
В самом конфиге:
SECRET_CODE=$(head -n 1 %patch_to_secret_code_folder%/${username})

ALLOWED_PASS=$(oathtool --totp --base32 $SECRET_CODE)

if [ "$password" == "$ALLOWED_PASS" ]

Обвязка сложнее, также в самом скрипте доп проверки

vesper-bot Jun 26 at 11:03

я в итоге заюзал libpam-google-authenticator в качестве PAM-модуля, и передавал ему пароль в качестве TOTP для проверки. Вот думаю, писать статью или нет - решение в две с половиной строки тоже, и один подводный камень.