我期待部署openvpn作为一个Linux RAS服务器(而不是站点到站点),我想使用双因素authentication,特别是使用ssl证书和密码绑定到ntlm域或ldap服务器。
这甚至有可能吗? 我真的很努力挖掘有关做这样的事情的信息,所以我开始怀疑这一点。 如果有人这么做了,那么知道(或者知道开源的方式来做这样的事情)会更好,或者更好的是需要openvpn服务器configuration来实现这个function。
编辑:我知道一个SSL证书是不是一个理想的因素。 🙂
从客户端您需要以下选项来提示用户input用户名/密码
auth-user-pass 在服务器端,您需要以下选项来validation用户名/密码
auth-user-pass-verify scriptname method
scriptname是openvpn将执行的脚本或程序,以validation用户/通行证。 如果脚本的返回码为真(0),则用户login,否则失效。 method是将用户和传递parameter passing给scriptname 。
所以你需要有一个脚本/程序来validation基于LDAP服务器的用户,你就完成了。
编辑:相关文档使用替代authentication方法
我有一个朋友正在这样做:OpenVPN带有SSL证书,用于validation每个端点,然后出现用户名/密码提示,用户的凭证通过LDAP从AD服务器validation,然后OpenVPN连接将出现。 我知道他正在做什么,因为我偶尔有证书可以使用它,从而login自己。 所以是的,这是可能的,但我没有configuration; 抱歉。
您是否尝试过遵循http://openvpn.net/index.php/open-source/documentation/howto.html#security并使用openvpn-auth-pam?
没有自己做,但会走在https://help.ubuntu.com/community/ActiveDirectoryHowto#Pam中所述的path来设置对AD的pam。 在完成之后,告诉openvpn使用pam应该不难。
我使用OpenVPN作为Ubuntu上的RAS服务器和双重身份validation,我有一个Deepnet身份validation服务器,它生成一次性密码以与静态密码一起使用 – 这又将VPN用户身份validation为AD。