Або, може, якийсь уауут?
Все, що я міг знайти - це 2факторна автентифікація з google. Але я хотів би використовувати базу Google Apps для автентичності OpenVPN.
Я вважаю, що можна зробити щось на кшталт gitlab. Де ви можете помістити свій сертифікат, а потім використовувати його без логіну та пароля.
Відповіді:
Шукаючи рішення для цього, я натрапив на Ворота . Він автоматизує створення профілю OpenVPN за OAuth та підтримує MFA. У ньому також є консоль адміністратора для управління користувачами. Ось допис у блозі від розробників, у якому викладено його використання та функції.
ОНОВЛЕННЯ 06/2019 - Pritunl тепер є моїм вирішенням цього питання. Він підтримує автоматичне генерування профілю OpenVPN позаду Google Auth та забезпечує клієнт, що працює на платформі, що спрощує налаштування за допомогою унікальних URI. Користувач не має права з’єднатися з Google (може бути потрібен PIN-код), що для деяких може бути недоліком, але я вважаю, що легкість використання чудова для менших команд.
Я не думаю, що для цього є гарний спосіб. Проблема полягає в тому, що методи аутентифікації, які підтримує Google, наприклад OAuth, дійсно орієнтовані на автентифікацію веб-додатків. Ключовим аспектом цього є те, що ви (як користувач програми) ніколи не надаєте свої повноваження сторонній сайт. Сайт перенаправляє вас до аутентивної сторінки в Google, на яку ви входите та надаєте дозвіл сторонній сайт.
Оскільки OpenVPN є не веб-додатком, я думаю, що це зробити неможливо розумним чином. В основному вам доведеться написати спеціальний модуль аутентифікації OpenVPN, який потрапляє на API OAuth Google, запитує маркер автентифікації, а потім подає користувачеві спеціальну URL-адресу, до якої він повинен буде звернутися, де він увійде, отримати код доступу , що їм потім доведеться ввійти в аутентифікацію OpenVPN, щоб вона могла повернутися до вашого модуля аутентифікації OpenVPN, щоб повернутися в Google, щоб отримати "yay" або "nay", щоб підтвердити вас. Якщо це звучить перекручено, це тому, що це так.
Якщо припустити, що ви згадуєте про Google Apps, це означає, що ви використовуєте платну версію Google Apps (тепер її називають Google Apps for Work), найкращим варіантом може стати налаштування єдиного входу (SSO), де ваша внутрішня система управління ідентифікацією є джерело істини, і Google Apps, і ваша система OpenVPN підтверджують автентичність проти цього. Докладніше про Google Apps SSO ви можете дізнатись, лише поглибивши його. Будьте в курсі, це не обов'язково простий процес, і часто потрібні певні зусилля для здійснення.
По суті, вам потрібен спосіб надати свої дані для OpenVPN, а потім дозволити його автентифікувати від вашого імені. Це працює лише у випадках, коли ваші користувачі будуть довіряти свої дані додатку (у цьому випадку VPN). Це працює для корпоративної автентифікації, але не відповідає баченню Google там, де є недовірені програми.