Como usar o daemon openvpn com o token de autenticação

1

recentemente começamos a usar o openvpn no ambiente de produção. Nós também usamos vários tipos de sistema operacional aqui (Mac, Linux e Win). Eu gostaria de falar sobre linux.

Aqueles que têm acesso também possuem tokens da safenet: eToken 5100. Eu tenho o arquivo de configuração openvpn que é configurado para usar este token e tudo funciona como esperado. Eu começo

sudo openvpn conf.ovpn

então, me pedem pin to the token, eu adiciono e vpn começa e funciona.

Infelizmente, se eu tentar iniciá-lo como um daemon (adicionando a linha 'daemon' ao arquivo de configuração), ele não pedirá a senha e, claro, não estabelecerá conexão por causa disso.

Temos vários pontos openvpn e eu preciso mudá-los com bastante frequência (eu sei que posso ter mais conexões openvpn de uma só vez, mas todos os ambientes de teste têm a mesma sub-rede IP, então não posso estar conectado a mais de uma vez )

Existe uma maneira de usar o openvpn como um daemon com o token safenet? (Se eu fizer isso, poderei facilmente criar um script para alterar o servidor openvpn)

Nota: Em ambos, Win e Mac OS, o token safenet solicita a senha por meio da GUI, portanto, mesmo que seja iniciado como um daemon, ele solicita a senha, mas não o linux.

Meu sistema operacional: Linux Mint 17 x64, cliente de autenticação da SafeNet: 8.3.40-0 amd64, openvpn: 2.3.2-7ubuntu3

arquivo conf openvpn:

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote server.name.domain 1194 udp
lport 0
verify-x509-name "server.name.domain" name
ns-cert-type server
comp-lzo

<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
...
-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1
pkcs11-providers /usr/lib/libeTPkcs11.so
pkcs11-id 'id of cert in token'
    
por user3337015 06.08.2014 / 13:31

1 resposta

0

Se você definir

 script-security 2

dentro do seu arquivo ovpn (ou conf), você terá permissão para executar scripts shell; Em seguida, você pode criar um script de shell que usa askpass para exibir uma GUI, permitindo que você insira as credenciais necessárias.

Configurar o askpass não é completamente trivial; Felizmente, esta resposta muito boa de U & L dá-lhe todos os detalhes necessários.

    
por 07.08.2014 / 09:58