Я хочу создать набор служб, требующих единого входа. По сути, вы входите в систему моего поставщика oAuth, и у вас есть доступ к openvpn-соединению (или защите от проводов) и веб-сайту без дополнительной безопасности, за исключением, возможно, исходной настройки.
Поэтому мой вопрос: как мне автоматизировать openVpn, чтобы я мог делать одно из двух:
Или
Прочтите man openvpn . Это исчерпывающий источник информации об OpenVPN.
Позвольте мне скопировать и вставить часть этой страницы. Я думаю, это должно полностью ответить на ваш вопрос:
- auth-token
tokenЭто не вариант, который нельзя использовать напрямую в любом файлы конфигурации, а лучше нажмите эту опцию из
- сценарий подключения клиента
или- плагин
, который подключается кOPENVPN_PLUGIN_CLIENT_CONNECT
илиOPENVPN_PLUGIN_CLIENT_CONNECT_V2
звонки. Эта опция дает возможность заменять клиентов пароль с токеном аутентификации в течение срока действия Клиент OpenVPN.При повторном согласовании соединения и
- auth-user-pass-verify
скрипт или- плагин
, использующийOPENVPN_PLUGIN_AUTH_USER_PASS_VERIFY
срабатывает ловушка, она будет пройдена этот токен в качестве пароля вместо пароля, предоставленного пользователем. В токен аутентификации может быть сброшен только путем полного переподключения, когда сервер может подтолкнуть клиента к новым опциям. Пароль, который ввел пользователь, никогда не сохраняется после установки токена аутентификации. Если сервер OpenVPN сторона отклоняет токен аутентификации, клиент получитAUTH_FAIL
и отключение.Цель этого состоит в том, чтобы включить двухфакторные методы аутентификации, такие как HOTP или TOTP, для использования без необходимости извлекать новый код OTP каждый раз. время повторного согласования подключения. Другой вариант использования - кэширование данные аутентификации на клиенте без необходимости наличия пользователей пароль кэшируется в памяти во время сеанса.
Чтобы использовать эту функцию, сценарий
- client-connect
или- плагин
необходимо поместить
push «auth-token UNIQUE_TOKEN_VALUE»
в файл / буфер для данных динамической конфигурации. Тогда это сделает сервер OpenVPN, чтобы передать это значение клиенту, который заменяет локальный пароль с
UNIQUE_TOKEN_VALUE
.
Я наткнулся на несколько ссылок, когда искал аналогичное требование единого входа для WireGuard. Я перечисляю их ниже.