Use um token criptográfico físico com a versão da comunidade OpenVPN (gratuita)

Navegue suas respostas
1

Atualmente, estou configurando o OpenVPN para fornecer acesso da empresa a vários clientes. Nosso requisito é usar certificados, proteger com senha as chaves do cliente, bem como usar autenticação de fator duplo (MFA) por cliente.

Eu tenho um monte de tokens Fortinet FortiToken 200 por aí que eu gostaria de usar, mas não consigo encontrar nenhuma informação que mostra como usar esses tokens com algo como OpenVPN. Depois de olhar em volta um pouco mais, não consigo encontrar nenhuma informação que mostre como alguém pode usar um token físico com o OpenVPN.

Então, minha pergunta é: como posso usar um token físico com o OpenVPN? Não posso usar algo como o Google Authenticator, já que planejamos ter clientes VPN em seus smartphones também. A documentação de instruções do OpenVPN PKCS # 11 é muito mal escrita.

Estou começando a acreditar que, se o MFA é uma exigência, o OpenVPN simplesmente não é uma opção viável neste momento.

Obrigado pela sua ajuda.

    
por lobi 09.10.2015 / 20:51

1 resposta

2

Basicamente:

  1. Instale um driver pkcs # 11 para o seu token (pergunte ao fabricante do seu token se ele não fornecer um).
  2. Diga ao openvpn para usar esse driver e liste as chaves disponíveis no token:
    • openvpn --show-pkcs11-ids /path/to/pkcs11/driver.so

  3. Em seu arquivo de configuração, especifique o módulo e o ID serializado para a chave do --show-pkcs11-ids output, por exemplo:

    pkcs11-providers /usr/lib/x86_64-linux-gnu/pkcs11/gnome-keyring-pkcs11.so
    pkcs11-id Gnome \ x20Chave / 1 \ x2E0 / 1 \ x3AUSER \ x3ADEFAULT / Gnome2 \ x20Key \ x20Storage / 417AEDAAB81FEF6AEBD1EC43D76A630CAAA4722A

(Certifique-se de escapar de qualquer barra invertida no pkcs-id, por exemplo, Gnome\x20Keyring se torna Gnome\x20Keyring .)

    
por 15.10.2015 / 21:26

Tags

como forçar ansible para usar http + kerberos (erro WINRM CONNECTION ERROR: 401 Unauthorized.) rsyslog - Logs diferentes para endereços IP diferentes?