Возможность реализации VPN с авторизацией по сертификату с использованием AD?

Question

[sbh]

Интересует возможность реализации авторизации доменных пользователей на сервере VPN (OpenConnect) с помощью сертификатов.
Кто-либо реализовывал подобное?

Answer 1

[CityCat4]

Вау, какой интересный вопрос... И по моей части :)

OpenConnect мне не понравился. Какое-то топорное наколеночное поделие, для которого сам чуть ли не скрипты пиши - очень напомнило мне енота (racoon), в котором все тоже вроде как работало, только все это нужно было самому обвязать туевой хучей скриптов.

Здесь сразу возникает вопрос - где CA? Используется стандартный виндовый CA или ручной? Стандартный виндовый CA практически бесполезен для софта, который не от M$ - он тупо не умеет с ним работать - и даже для того, чтобы завести их в почте MS Outlook приходится бить в огромный бубен.

Затем второй вопрос - что в Вашем понимании "с помощью сертификатов"? Это просто сертификат сервера и сертификат удаленного узла или скажем сертификат пользователя и сертификат сервера? Больше информации нужно - кто должен цепляться к AD, какие сертификаты имеются в виду, откуда они берутся etc.

Задачка непростая и вполне возможно в текущей постановке не решаемая.

Comments

[sbh]

Сертификаты планируем издавать в УЦ VipNet.
С помощью сертификатов - имеется в виду что пользователь логиниться под доменной учетной записью и 2 фактором подтверждает себя с помощью сертификата записанного на токене. Для подключения планируется использовать Cisco AnyConnect.
Вот статья в которой описывается похожий сценарий: https://habr.com/ru/post/334880/

[CityCat4]

sbh, Хм... статья довольно исчерпывающая - если иметь в виду AnyConnect - просто брать и делать. Правда я не уверен, что если с той стороны не циска, эта штука взлетит.

[Valentin Barbolin]

sbh, Вообще сертификат выступает первым фактором, таким образом сервер апрувит подключение клиента и уже потом передается пароль клиента. На просторах интернета нет информации о схожей реализации. Скорее всего это связано с высоким уровнем сложности в настройке, что не каждому по плечу. В Вашем случае - брать и тестировать. Вам нужна связка ocserv + MS Radius.

https://github.com/openconnect/ocserv/blob/master/...
В атрибутах подключения к радиусу я не нашел информации о сертификате, скорее всего работать не будет, но интересно попробовать)

[CityCat4]

Andrey Barbolin, На просторах интеренета нет такой информации, потому что ТС замахнулся на вендорскую реализацию - на цисковском AnyConnect. А вендорская - она работает только с оборудованием вендора - то есть совсем не факт, что если с той стороны не циска - она вообще будет подключаться, в клиенте AnyConnect я не нашел настроек подключения от слова совсем. Да еще сертификаты от випнета как-то прикрутить.

[sbh]

CityCat4, а какая разница где сертификат выпущен? от того что он издан на VipNet он не будет работать?

[CityCat4]

sbh, Зависит от того, является ли випнет "самопальным" CA или же он subCA от мирового - Thawte, Comodo (Sectigo), Globalsign... Если они сами себя назвали CA - то их корневого может не оказаться ни в хранилище циски, ни в хранилищах винды, где корневые лежат - и тогда придется ручками его расставлять. Если же они subCA (либо их корневой как-то распространен по устройствам) - то работать будет.

[Ziptar]

Вообще использовать сторонние CA для внутренней криптографии - это всегда плохая идея.

[CityCat4]

Ziptar, согласен. Либо свой, либо общемировой. Первое обычно связано с преизрядным сексом, второе - с тем, что будет стоить преизрядных денег :)