O forse qualche oauth?
Tutto quello che ho potuto trovare è l'autenticazione a 2 fattori con Google. Ma vorrei utilizzare la base di Google Apps per l'autenticazione OpenVPN.
Credo che sia possibile realizzare qualcosa come gitlab. Dove puoi mettere il tuo certificato e poi usarlo senza login e password.
Risposte:
Mentre cercavo una soluzione per questo, mi sono imbattuto in Gate . Automatizza la creazione del profilo OpenVPN dietro OAuth e supporta MFA. Ha anche una console di amministrazione per la gestione degli utenti. Ecco un post sul blog degli sviluppatori che illustra il suo caso d'uso e le sue funzionalità.
AGGIORNAMENTO 06/2019 - Pritunl è ora la mia soluzione ideale per questo. Supporta la generazione automatica del profilo OpenVPN dietro Google Auth e fornisce un client multipiattaforma che semplifica la configurazione con URI unici. L'utente non autorizza Google a connettersi (può essere richiesto un PIN) che potrebbe essere un aspetto negativo per alcuni, ma trovo che la facilità d'uso sia ottima per i team più piccoli.
Non penso che ci sia un buon modo per farlo. Il problema è che i metodi di autenticazione supportati da Google, come OAuth, sono realmente orientati all'autenticazione delle applicazioni web. L'aspetto chiave di questo è che tu (come utente dell'applicazione) non dai mai le tue credenziali al sito di terze parti. Il sito ti indirizza a una pagina di autenticazione su Google, a cui accedi e autorizzi il sito di terze parti.
Con OpenVPN un'applicazione non basata sul web, penso che sarebbe quasi impossibile farlo in modo ragionevole. Fondamentalmente dovresti scrivere un modulo di autenticazione OpenVPN personalizzato che colpisce l'API OAuth di Google, richiede un token di autenticazione, quindi presenta all'utente un URL speciale a cui dovrebbe andare, dove accede, ottiene un codice di accesso , che dovrebbero quindi inserire nell'autenticazione OpenVPN in modo che possa tornare al modulo di autenticazione OpenVPN per tornare a Google per ottenere un "yay" o "no" al momento dell'autenticazione. Se sembra contorto, è perché lo è.
Supponendo che la tua menzione di Google Apps significhi che stai utilizzando la versione a pagamento di Google Apps (ora chiamata Google Apps for Work), la soluzione migliore sarebbe probabilmente quella di configurare Single Sign-On (SSO), in cui il tuo sistema di gestione delle identità interno è il fonte di verità, e sia Google Apps che il tuo sistema OpenVPN si autenticano contro di esso. Puoi scoprire di più su SSO di Google Apps semplicemente cercandoti su Google. Attenzione, non è necessariamente un processo semplice e spesso richiede un certo impegno per l'implementazione.
Fondamentalmente, hai bisogno di un modo per fornire le tue credenziali a OpenVPN e poi autenticarlo per tuo conto. Questo funziona solo per i casi in cui i tuoi utenti si fideranno delle loro credenziali per l'applicazione (in questo caso VPN). Funziona per l'autenticazione aziendale, ma non corrisponde alla visione di Google in cui esistono applicazioni non attendibili.