openvpn como ponto de entrada de rede de dois fatores integrado ao AD

Navegue suas respostas
2

Estou procurando implantar o openvpn como um servidor RAS do Linux (em vez de site a site) e gostaria de usar a autenticação de dois fatores, especificamente o uso de certificados e senhas ssl vinculados a um domínio ntlm ou ldap servidor.

Isso é possível? Eu estou realmente lutando para desenterrar informações sobre como fazer isso, então estou começando a duvidar um pouco. Se alguém tiver feito isso, seria bom saber (ou saber de uma forma de código aberto para fazer tal coisa), ou melhor ainda, a configuração do servidor openvpn necessária para fazer isso.

edit: eu sei que um certificado ssl não é um fator ideal. :)

    
por Sirex 14.03.2011 / 09:46

4 respostas

5

Do lado do cliente, você precisa da seguinte opção para solicitar ao usuário nome de usuário / senha 

auth-user-pass

No lado do servidor, você precisa da seguinte opção para verificar o nome de usuário / senha 

auth-user-pass-verify scriptname method

scriptname é um script ou programa que o openvpn executará para verificar o usuário / senha. Se o código de retorno do script for verdadeiro (0), o usuário será logado, caso contrário, invalidado. method é a maneira como os parâmetros user e pass são passados para o scriptname .

Então você precisa ter um script / programa para validar os usuários com base em um servidor ldap e pronto.

Editar: documentação relacionada Usando métodos alternativos de autenticação

    
por 14.03.2011 / 10:07
1

Eu tenho um amigo que está fazendo exatamente isso: OpenVPN com certificados SSL usados para autenticar cada terminal, em seguida, um prompt de nome de usuário / senha aparece e as credenciais do usuário são autenticadas em um servidor AD via LDAP antes da conexão OpenVPN aparecer. Eu sei que é o que ele está fazendo, como eu tenho, de vez em quando, credenciais para usá-lo e, assim, me conectei. Então sim, é possível, mas eu não tenho as configurações; desculpe.

    
por 14.03.2011 / 09:53
1

Você tentou seguir o link e usar o arquivo openvpn-auth- pam?

Não fiz isso sozinho, mas seguiria o caminho descrito no link para configurar o pam no AD. Depois disso, dizer ao openvpn para usar o pam não deve ser difícil.

    
por 14.03.2011 / 10:31
1

Eu uso o OpenVPN como um servidor RAS no Ubuntu e para a autenticação dupla Eu tenho um servidor de autenticação do Deepnet que gera senhas únicas para serem usadas em conjunto com senhas estáticas - que por sua vez autentica os usuários de VPN no AD.

    
por 16.12.2011 / 13:53

Tags

Linux Software RAID 5 Desempenho aleatório de pequenas gravações Abismal - Reconfiguration Advice Posso fazer backup do mysql enquanto o mysql está rodando?