LINUX.ORG.RU

История изменений

Исправление jekader, (текущая версия) :

почему не рекомендовано?

Это противоречит идее public key cryptography. Закрытый ключ, даже клиентский, не должен быть у нескольких человек сразу.

как сертификат то они поимеют

Я дал ключевые слова для поиска. В AD есть встроенный PKI, он может по GPO выдавать сертификаты машинам при их подключении к домену. Настраивается это очень просто.

То есть машина подключилась к домену - в trust store добавился сертификат (причём закрытый ключ можно хранить прямо в TPM, так что никто его не экспортирует) и опционально сразу установился OpenVPN клиент с корпоративным конфигом.

Когда пользователь активирует VPN, сначала компьютер авторизуется по сертификату, а потом уже пользователь вводит свои учётные данные AD и аутентифицируется через RADIUS/LDAP, получая доступ к внутренним ресурсам.

При таком подходе, в организации с тысячами пользователей и компьютеров, которые постоянно появляются и исчезают, можно легко контроллировать кто и с чего подключается к корпоративной сети и легко включать/отключать доступ совершенно никак не меняя настроек OpenVPN серверов.

Исправление jekader, :

почему не рекомендовано?

Это противоречит идее public key cryptography. Закрытый ключ, даже клиентский, не должен быть у нескольких человек сразу.

как сертификат то они поимеют

Я дал ключевые слова для поиска. В AD есть встроенный PKI, он может по GPO выдавать сертификаты машинам при их подключении к домену. Настраивается это очень просто.

То есть машина подключилась к домену - в trust store добавился сертификат (причём закрытый ключ можно хранить прямо в TPM, так что никто его не экспортирует) и опционально сразу установился OpenVPN клиент с корпоративным конфигом.

Когда [u]пользователь[/u] активирует VPN, сначала компьютер авторизуется по сертификату, а потом уже [u]пользователь[/u] вводит свои учётные данные AD и авторизуется через RADIUS/LDAP, получая доступ к внутренним ресурсам.

При таком подходе, в организации с тысячами пользователей и компьютеров, которые постоянно появляются и исчезают, можно легко контроллировать кто и с чего подключается к корпоративной сети и легко включать/отключать доступ совершенно никак не меняя настроек OpenVPN серверов.

Исходная версия jekader, :

почему не рекомендовано?

Это противоречит идее public key cryptography. Закрытый ключ, даже клиентский, не должен быть у нескольких человек сразу.

как сертификат то они поимеют

Я дал ключевые слова для поиска. В AD есть встроенный PKI, он может по GPO выдавать сертификаты машинам при их подключении к домену. Настраивается это очень просто.

То есть машина подключилась к домену - в trust store добавился сертификат (причём закрытый ключ можно хранить прямо в TPM, так что никто его не экспортирует) и опционально сразу установился OpenVPN клиент с корпоративным конфигом.

Когда пользователь активирует VPN, сначала компьютер авторизуется по сертификату, а потом уже пользователь вводит свои учётные данные AD и авторизуется через RADIUS/LDAP, получая доступ к внутренним ресурсам.