Kanlas 30 сен 2019 в 20:38

OpenVPN и Active Directory (Kerberos без пользовательских сертификатов)

3 мин

17K

*nix * Настройка Linux * Системное администрирование *

Из песочницы

+12

Комментарии 8

kuyantus 1 окт 2019 в 04:49

То есть, пока мы, в дополнение к сертификату вводим двухфакторную авторизацию, в данном случае вообще достаточно пароля от AD и больше ничего? Ну, такое :)

Kanlas 1 окт 2019 в 05:16

Авторизация через AD заменяет сертификат) У клиента все равно есть preshared key (tls-crypt или устаревшее tls-auth), без которого подключение сервер сразу отклонит (у меня такие ip сразу улетают в долгосрочный бан). Если мы выдаем всем один сертификат, что он есть, что его нет, в случае попадания конфигурации клиента к злоумышленнику, разницы не будет. От подбора паролей защищает fail2ban и мониторинг логов, в случае компрометации меняем ключ и рассылаем новый конфиг клиентам. Идея не снизить безопасность, а отказазаться от того, что ее не повысит :-) Если есть возможность выдавать всем персональный сертификат, а то и под каждое устройство, то это уже другое дело.
Двухфакторная авторизация хороший вариант, но я пока решил, что этого достаточно.

pilya_by 1 окт 2019 в 06:49

Возможно я ошибаюсь, но сертификат пользователь получает по тому же логину/паролю AD.

Kanlas 1 окт 2019 в 06:55

Сертификат пользователя по сути приватный ключ, как в ssh, например. Так что выдается заранее

scruff 1 окт 2019 в 11:06

Подскажите по конфе OpenVPN. Установлен сабж пару лет назад из скрипта с гитхаба. Не могу понять на сколько он безопасен. Клиенты подключаются через OpenVPNGUI и файлик *.ovpn. Файл ovpn генерится так ./newclient.sh из /etc/openvpn. Работает вроде норм, но как управлять этим чудом не пойму. Где здесь сертификаты, где ключи открытые/закрытые, как мониторить активных юзеров ума не приложу.

Kanlas 1 окт 2019 в 12:25

Слишком много вопросов, чтобы ответить в одном комментарии) Готовые скрипты вообще зло, если не понимаешь что они делают. Проще всего будет посмотреть мануалы, либо прямо по ним переставить сервер. Вот хороший мануал, хоть и несколько устаревший, там про сертификаты тоже есть. Про безопасность, стандартный конфиг, указанный почти во всех приличных мануалах, сгодится для личного использования/небольшой компании. Но я не специалист ИБ и не держу публичных OpenVPN, чтобы поделиться опытом, поэтому могу ошибаться. В целом, оф. мануал хорошо описывает все параметры, так что можете просто по ним изучить свой конфиг.
Мониторинг осуществляется либо через файл openvpn-status.log (в конфиге обычно указывается, если не указан, можно подсмотреть в любом мануале), либо через management interface, с которым можно общаться через telnet(пригодится для заббикса и всяких веб-морд с гитхаба, по умолчанию не включен и в мануалах обычно его нет)

scruff 2 окт 2019 в 11:17

Спасибо, методом тыка нашел то что мне надо /etc/openvpn/logs/openvpn.log — теперь можно смотреть кто подключен, а кто «ломится» с отозванным *.ovpn. И приятный бонус — видно реальные IP всех подключающихся.

НЛО прилетело и опубликовало эту надпись здесь

Зарегистрируйтесь на Хабре, чтобы оставить комментарий