Atau, mungkin oauth?
Yang bisa saya temukan - adalah otentikasi 2faktor dengan google. Tapi saya ingin menggunakan basis Google Apps untuk OpenVPN auth.
Saya percaya bahwa membuat sesuatu seperti gitlab adalah mungkin. Di mana Anda dapat meletakkan sertifikat Anda dan kemudian menggunakannya tanpa login dan kata sandi.
Jawaban:
Sambil mencari solusi untuk ini saya menemukan Gate . Ini mengotomatiskan pembuatan profil OpenVPN di belakang OAuth dan mendukung MFA. Itu juga punya admin konsol untuk manajemen pengguna. Berikut ini adalah posting blog dari para pengembang yang menguraikan use-case dan fiturnya.
UPDATE 06/2019 - Pritunl sekarang solusi masuk saya untuk ini. Ini mendukung pembuatan profil OpenVPN otomatis di belakang Google Auth, dan menyediakan klien lintas platform yang mempermudah pengaturan dengan URI unik. Pengguna tidak auth dengan Google untuk terhubung (PIN mungkin diperlukan) yang bisa menjadi kerugian bagi sebagian orang, tetapi saya menemukan kemudahan penggunaannya bagus untuk tim yang lebih kecil.
Saya tidak berpikir ada cara yang baik untuk melakukan ini. Masalahnya adalah bahwa metode otentikasi yang didukung oleh Google, seperti OAuth, benar-benar diarahkan untuk mengautentikasi aplikasi web. Aspek kunci dari ini adalah bahwa Anda (sebagai pengguna aplikasi) tidak pernah memberikan kredensial Anda ke situs pihak ketiga. Situs ini mengarahkan Anda ke halaman auth di Google, yang Anda masuki dan otorisasi situs pihak ketiga.
Dengan OpenVPN sebagai aplikasi non-web, saya pikir hampir tidak mungkin untuk melakukan ini dengan cara yang masuk akal. Pada dasarnya Anda harus menulis modul autentikasi OpenVPN khusus yang mengenai API OAuth Google, meminta token otentikasi, lalu menyajikan kepada pengguna URL khusus yang harus mereka kunjungi, tempat mereka masuk, mendapatkan kode akses , yang kemudian harus mereka masukkan ke dalam otentikasi OpenVPN sehingga bisa kembali ke modul otentikasi OpenVPN Anda untuk kembali ke Google untuk mendapatkan "yay" atau "nay" saat mengotentikasi Anda. Jika kedengarannya berbelit-belit, itu karena itu.
Dengan asumsi Anda menyebutkan Google Apps berarti Anda menggunakan versi Google Apps berbayar (sekarang disebut Google Apps for Work), taruhan terbaik Anda mungkin adalah dengan memasang Sistem Masuk Tunggal (SSO), di mana sistem manajemen identitas internal Anda adalah sumber kebenaran, dan Google Apps dan sistem OpenVPN Anda mengautentikasi terhadapnya. Anda dapat mengetahui lebih lanjut tentang SSO Google Apps dengan hanya mencari di Google. Sadarilah, ini tidak selalu merupakan proses yang sederhana, dan seringkali membutuhkan beberapa upaya untuk diterapkan.
Pada dasarnya, Anda memerlukan cara untuk memasok kredensial Anda ke OpenVPN, dan kemudian mengesahkannya atas nama Anda. Ini hanya berfungsi untuk kasus di mana pengguna Anda akan mempercayai kredensial mereka ke aplikasi (dalam hal ini VPN). Itu berfungsi untuk otentikasi perusahaan, tetapi tidak cocok dengan visi Google di mana ada aplikasi yang tidak dipercaya.