From b97842a3160d263eb78e1cf8c83695a38ed9e032 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?=D0=90=D1=80=D1=82=D0=B5=D0=BC=D0=B8=D0=B9=20=D0=9A=D1=80?= =?UTF-8?q?=D0=B0=D1=81=D0=B8=D0=BB=D1=8C=D0=BD=D0=B8=D0=BA=D0=BE=D0=B2?= Date: Fri, 30 Jun 2023 13:00:40 +0300 Subject: [PATCH] =?UTF-8?q?=D0=98=D0=B7=D0=BC=D0=B5=D0=BD=D0=B8=D0=BB(?= =?UTF-8?q?=D0=B0)=20=D0=BD=D0=B0=20'Openconnect=20server=20(ocserv)=20+?= =?UTF-8?q?=20TOTP=20(Google=20Authenticator)'?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...%29-%2B-TOTP-%28Google-Authenticator%29.md | 37 +++++++++++++++++++ 1 file changed, 37 insertions(+) diff --git a/Openconnect-server-%28ocserv%29-%2B-TOTP-%28Google-Authenticator%29.md b/Openconnect-server-%28ocserv%29-%2B-TOTP-%28Google-Authenticator%29.md index 0230f74..24b3231 100644 --- a/Openconnect-server-%28ocserv%29-%2B-TOTP-%28Google-Authenticator%29.md +++ b/Openconnect-server-%28ocserv%29-%2B-TOTP-%28Google-Authenticator%29.md @@ -9,4 +9,41 @@ Перед установкой необходимого ПО требуется выполнить на ВМ/ПК обновление данных о пакетах: ``` sudo apt-get update +``` +**Установка и настройка** + +Устанавливаем Google Authenticator на саму ВМ/ПК: +``` +sudo apt-get install libpam-google-authenticator +``` + +далее на ВМ/ПК авторизуемся под необходимого нам пользователя и выполняем из под него команду: +``` +google-authenticator +``` +Ответив на все вопросы получаем индентификатор/qr-код для приложения Google Authenticator/Яндекс Ключ/FreeOTP и пр. На основе этого идентификатора будет формироваться временный пароль двухфакторной авторизации TOTP. + +Дальше нам требуется включить двухфакторную аудентификацию в модулях авторизации PAM VPN сервера ocserv, для этого выполняем: +``` +sudo sed '/^#%PAM-1.0$/a auth required pam_google_authenticator\.so' /etc/pam.d/ocserv +``` + +или же: +``` +sudo vim /etc/pam.d/ocserv +``` + +и приводим конфигурационный файл к такому виду: +``` +#%PAM-1.0 +auth required pam_google_authenticator.so +auth include system-auth +account required pam_nologin.so +account include system-auth +session include system-auth +``` + +Перезапускаем службу Ocserv и пробуем авторизоваться под пользователем, которому ранее получали идентификатор. +``` +sudo systemctl restart ocserv ``` \ No newline at end of file