OpenVPN com cartão inteligente 2FA

0

Eu tenho uma configuração do OpenVPN em funcionamento, que usa certificados X.509 para autenticação. Para implementar a autenticação de dois fatores, desejo registrar novas chaves / certificados em smartcards. A Aventra MyEID foi a placa que funcionou melhor com o OpenSC e o processo de inscrição da CA, então comecei com este cartão.

No Linux, o cliente OpenVPN (OpenVPN 2.4.0, opensc-pkcs11 0.16.0-3, libpkcs11-helper1 1.21-1 / Debian Stretch) congela no ponto em que deve solicitar o PIN do cartão. Primeiro eu suspeitei de um problema pinentry / askpass mas quando eu brinquei com o pkcs11-id ele já congelou durante a inicialização do provedor PKCS11 (não respondeu aos sinais exceto kill -9 ).

No Windows, o cliente de teste chegou ao ponto em que entrou em contato com o cartão, mas exibiu um erro que soa como esse bug: link

Eu tenho a configuração do Windows funcionando, quando usei a versão 2.3 do cliente OpenVPN, que me deu um URI PKCS11 funcional:

/usr/sbin/openvpn --show-pkcs11-ids (path-to-provider)

A versão 2.4 me dá um ID diferente, que não está funcionando. No entanto, quando eu uso o pkcs11-id que a versão 2.3 me disse, também funciona.

Minhas faculdades avaliam outras placas (Yubi e Nitrokey), mas também sentiram que a interface PCS11 do OpenVPN 2.4 não estava funcionando particularmente bem com essas placas.

Se alguém estiver executando uma configuração confiável do OpenVPN 2.4 com Smartards, você poderia compartilhar quais cartões está usando?

Atenciosamente, Dirk

    
por Dirk 26.08.2018 / 19:47

0 respostas