OpenVPN создать сного пользователей (автоматизация)

тут на форуме принято писать скрипты на expect в таких случаях.

Я бы при виде семисот рабтников озадачился, по какой причине у меня заранее не заведено сервисов для управления моим хозяйством, например, freeipa, в котором есть свой УЦ.

Просто все хозяйство только заводиться)

Посмотри скрипты easy-rsa и адаптируй под свои нужды.

https://gist.github.com/hcooper/814247

Но я бы порекомендовал или клавиатуру сменить, или не торопиться.

ему и нужно заполнялку ответов для easy-rsa, судя по заданному вопросу

Спасибо)

заводится

тогда сразу freeipa и ковыряйте, там куча полезных плюшек для жизни есть

Посмотрю, спасибо...

Судя по заданному вопросу ТСу нужен скрипт, который дернет данные из LDAP'а и одним циклом нагенерирует ключи для всех сотрудников.

Можно и так сказать, а можно сотрудников из файла взять, csv например... есть такой скрипт или как его правильно реализовать?

напишите скрипт на баше, используйте expect и генерируйте имена пользователей, сертификаты и прочее, прочее, разберитесь только сначала, как следует в тонкостях конфигурирования openvpn, когда поймете, что конкретно вам надо от скрипта, тогда останется написать его за пару вечеров или часов, в зависимости от вашего владения языком программирования.

амигос. ты бы посмотрел в сторону SoftEtherVPN оно умеет авторизацию пользователей в AD LDAP Radius и еще вагон свистелок. в том числе поддержка openvpn протокола и l2tp итп.

Гляну)

нашел выход, скрипт генерит ключи без пароля. если ставлю ему команду с паролем, то приходиться руками заново .. в общем смотрю и читаю... спасибо...

А SoftEtherVPN под android и iOS разве есть? не нашел ... пока что...

А SoftEtherVPN под android и iOS разве есть?

и тот и другой умеют L2TP - я на своем ифоне свободно юзаю.

http://www.softether.org/4-docs/2-howto/9.L2TPIPsec_Setup_Guide_for_SoftEther...

SoftEtherVPN

пятизвёздные вантузятники рекомендуют, не дождавшись включения любимой поделки в systemd

не дождавшись включения любимой поделки в systemd

написать .service файлик для запуска демона, делов на 3 минуты.

не, надо в кодовую базу включить скорее, чтоб передавать ключи от vpn c айфона qr-кодом в ядро по dbus и очень быстро перезагружаться

анонимус, дорой мой, выдыхай!

Очень опрометчиво предлагать для компании проприетарный продукт для построения безопасной сети.

Код открыт буквально недавно, не полностью, и не исключено, что там могут быть бэкдоры.

Уж лучше проверенные временем решения, хорошо обкатанные. Тот же OpenVPN.

Код открыт буквально недавно, не полностью, и не исключено, что там могут быть бэкдоры.

я вас умоляю =) про пушного северного зверька в openSSL, что недавно был в новостях напомнить?

ЗЫ пол лора в истерике билось, а другая половина бубунточку свою обновляла и тихо на восток молилась что бы эта уязвимость в ssh не аукнулась.

нашёл кому объяснять. Хотя если ТС обратит внимание на твои слова, то это уже хорошо.

а я люблю с анонимусами общаться, эдакий распределенный разум =)

я вас умоляю =) про пушного северного зверька в openSSL, что недавно был в новостях напомнить?

Значит ли это, что из-за уязвимости в одном продукте можно пренебрегать безопасностью во всех остальных?

И для справедливости надо отметить, что мир не сошелся на OpenSSL (и уж точно не на конкретных версиях, да ещё и с включенной поддержкой tls-heartbeat), есть ещё и GnuTLS и PolarSSL.

ЗЫ пол лора в истерике билось, а другая половина бубунточку свою обновляла и тихо на восток молилась что бы эта уязвимость в ssh не аукнулась.

Типичный ЛОР, толпа хомячков, которые не понимают сути уязвимости, начала волноваться за свой SSH.

Значит ли это, что из-за уязвимости в одном продукте можно пренебрегать безопасностью во всех остальных?

да жизнь веселая штука. никогда не знаешь, что будет завтра.

ставить откровенно дырявый софт - кандидат на премию дарвина.

трястись от страха за каждый байт в софтике - к скорому визиту в больницу с желтыми стенами, и лечить паранойю.

вот где то по серединке надо быть. в тех местах где атата и ололо за передаваемые данные давно уже все по госту и на аппаратных решениях.

я вас умоляю =) про пушного северного зверька в openSSL, что недавно был в новостях напомнить?

теперь его гарантировано нету. а кто знает, нет ли такого же в вашем проприетарном поделии?

а ниче что код открыт?

анонимус выше имеет мнение, что код открыт не полностью

Не нужно быть клиническим параноиком. И не нужно держать в обязательном порядке аппаратные решения.

Достаточно послушать умных парней, которые разбираются в безопасности, и которые знают ситуацию, например, Брюса Шнайера или Эдварда Сноудена.

Или Недоверчивого Анонимуса, которому кажется подозрительным внезапное открытие никому раньше неведомой поделки, которая стремится реализовать сразу все протоколы vpn, обещая неслыханную дружелюбность и не требуя знаний.

анонимус выше имеет мнение, что код открыт не полностью

беда печаль. насколько я помню там балалайка с протоколами от M$ в бинарном блобе и еще пара хреновин из той же оперы. а в целом там все открыто. оно на гитхабе лежит.

Как все развернулось то) А ssh же не должен трогать openssl, в том смысле , что он там нужен только в начале, когда ключи или пароли генерються вроде...

а такой вопрос... пробую поставить этого зверя SoftEther VPN Server при запуске попытки настроить выдает:

Error occurred. (Error code: 1) Connection to the server failed. Check network connection and make sure that address and port number of destination sever are correct.

При этом порты свободны и пробовл и 992. и 555, как рекомендуеся на сайте у них... в чем может быть подвох?

в чем может быть подвох?

документацию то сначала попробуй почитать =)

ос какая?

Centos 6.5 документацию прочел. сдела все как там .. но результат тот же...

ну пароль можно вводить с помощью expect, правда он будет у всех одинаковый, по сути это не очень важно

SoftEtherVPN поставил... только не понятно , кеак там ключи пользователям раздовать... но это дело времени .. конечно удобно, все под рукой ... посмотрим, как дела дальше пойдут

Почему пароль одинаковы? я же могу для каждого свой генерить и подставлять...

Вопрос. как мне поставить пароль в нужное время ...

тое сть на орде введу сразу все данные т запущу скрипт ./build-key-pass... а вот как ему переменные передовать, и чтобы поом шел перехорд к новому вводу переменно мне не понятно .

exec («/etc/openvpn/rsa/./build-key-pass»);

вот нашел нечто похожее. http://pastebin.com/f5a8b6809 но оно пока выдает ошибку о скобках)

можно разные, как угодно, учись писать скрипты на expect, что еще не понятно?