Giới Thiệu

Trong phần 1, chúng ta đã cùng nhau khám phá cách cài đặt và cấu hình cơ bản cho OpenVPN Access Server. Ở phần 2 này, chúng ta sẽ đi sâu vào cách tạo tài khoản người dùng trực tiếp trên nền tảng web và qua Okta.

Tạo và Cấu Hình Tài Khoản Người Dùng

Tài Khoản Người Dùng Địa Phương

Các tài khoản người dùng này sẽ được tạo ngay trên giao diện web của Access Server và được lưu trữ trong cơ sở dữ liệu cục bộ của máy chủ. Quy trình tạo tài khoản rất đơn giản: truy cập vào mục Quản Lý Người Dùng (User Management), sau đó chọn Quyền Người Dùng (User Permissions). Tại đây, nhập tên tài khoản mới vào ô Tên Người Dùng Mới (New Username) và nhấn chọn Cài Đặt Khác (More Settings).

Trong phần Phương Thức Xác Thực (Auth Method), chọn địa phương (local) và nhập mật khẩu. Phần Kiểm Soát Truy Cập (Access Control) cho phép bạn định hình quyền truy cập VPN cho từng lớp mạng nội bộ. Ví dụ, nếu công ty có nhiều phòng ban, nhân viên trong phòng A chỉ có thể kết nối với lớp mạng của phòng mình.

Xác Thực Và Quản Lý Người Dùng Với LDAP Của Okta

Sử dụng Okta để quản lý người dùng giúp tiết kiệm thời gian và công sức, đặc biệt là khi công ty có nhiều nhân viên. Nếu bạn có tài khoản email công việc hoặc tài khoản sinh viên, bạn có thể đăng ký dùng thử 30 ngày. Sau khi có tài khoản, hãy đăng nhập vào Okta Admin Console và thực hiện các bước sau:

1. Vào Thư Mục (Directory), chọn Người (People) và nhấn Thêm Người (Add Person). Tài khoản vừa tạo sẽ được sử dụng làm Bind User cho LDAP.
2. Kích hoạt tài khoản và trên giao diện người dùng mới, vào mục Vai Trò Quản Trị (Admin Roles), chọn Thêm Quyền Quản Trị Cá Nhân (Add Individual Admin Privileges).
3. Chọn vai trò là Quản Trị Viên Đọc Chỉ (Read-Only Administrators) và nhấn Lưu Thay Đổi (Save Changes).
4. Thêm giao diện LDAP cho kết nối giữa Access Server và Okta bằng cách nhấn vào Kết Nối Thư Mục (Directory Integrations) và chọn Thêm Giao Diện LDAP (Add LDAP Interface).
5. Lưu ý rằng thông tin từ LDAP Interface sẽ cung cấp địa chỉ để cấu hình Access Server.
6. Vào Xác Thực/LDAP, bật Xác Thực LDAP và nhập các thông tin cấu hình cần thiết.
7. Trong mục Cài Đặt (Settings), chọn Hệ Thống Xác Thực Mặc Định (Default Authentication System) là LDAP và bật TOTP MFA, giúp gia tăng bảo mật khi đăng nhập.
8. Thử đăng nhập vào giao diện web bằng tài khoản LDAP. Lần đầu, Access Server sẽ yêu cầu ứng dụng Authenticator để quản lý mã OTP cho MFA; ở đây mình dùng Okta Verify.
9. Sau khi đăng nhập thành công, Access Server tự động thêm tài khoản mới vào danh sách Quyền Người Dùng (User Permissions) để bạn chỉnh sửa cấu hình.

Cấp Quyền Nhóm

Việc tổ chức các tài khoản người dùng thành các nhóm là rất cần thiết khi số lượng người dùng quá lớn. Thay vì chỉnh sửa từng tài khoản một, bạn có thể phân loại chúng thành nhóm và chỉ cần cấu hình quyền truy cập cho nhóm đó.

Khi người dùng đăng nhập bằng tài khoản quản lý trên Okta, tài khoản này sẽ được thêm vào hệ thống Access Server. Tuy nhiên, nhóm sẽ không tự động được thêm. Để tự động thêm người dùng vào nhóm, bạn cần sử dụng một script để ánh xạ các nhóm trên Okta với các nhóm trên Access Server. Cụ thể, bạn có thể tạo một Post-Auth Script với các bước sau:

1. Truy cập vào console của máy ảo chạy Access Server.
2. Sử dụng quyền root để tải script: wget https://packages.openvpn.net/as/scripts/post_auth_ldap_autologin_dbsave.py -O /root/ldap.py.
3. Mở script với lệnh nano ldap.py và điều chỉnh phần ánh xạ nhóm theo nhu cầu.
4. Chạy các lệnh sau để tải lại script và khởi động lại Access Server:
   cd /usr/local/openvpn_as/scripts
./sacli -k auth.module.post_auth_script --value_file=/root/ldap.py ConfigPut
./sacli start

Tổng Kết

Qua bài viết này, bạn đã nắm vững cách thiết lập mô hình VPN Server với OpenVPN Access Server. Bên cạnh đó, có những cấu hình nâng cao khác như Cluster hay DMZ Settings mà bạn có thể tự tìm hiểu thêm. Sau khi đã hiểu rõ cách vận hành, bạn có thể khám phá thêm các mô hình hiện đại như ZTNA hoặc SASE, vốn có nhiều ưu điểm vượt trội so với VPN truyền thống. Cảm ơn bạn đã theo dõi!