Исправление jekader, (текущая версия) :
почему не рекомендовано?
Это противоречит идее public key cryptography. Закрытый ключ, даже клиентский, не должен быть у нескольких человек сразу.
как сертификат то они поимеют
Я дал ключевые слова для поиска. В AD есть встроенный PKI, он может по GPO выдавать сертификаты машинам при их подключении к домену. Настраивается это очень просто.
То есть машина подключилась к домену - в trust store добавился сертификат (причём закрытый ключ можно хранить прямо в TPM, так что никто его не экспортирует) и опционально сразу установился OpenVPN клиент с корпоративным конфигом.
Когда пользователь активирует VPN, сначала компьютер авторизуется по сертификату, а потом уже пользователь вводит свои учётные данные AD и аутентифицируется через RADIUS/LDAP, получая доступ к внутренним ресурсам.
При таком подходе, в организации с тысячами пользователей и компьютеров, которые постоянно появляются и исчезают, можно легко контроллировать кто и с чего подключается к корпоративной сети и легко включать/отключать доступ совершенно никак не меняя настроек OpenVPN серверов.
Исправление jekader, :
почему не рекомендовано?
Это противоречит идее public key cryptography. Закрытый ключ, даже клиентский, не должен быть у нескольких человек сразу.
как сертификат то они поимеют
Я дал ключевые слова для поиска. В AD есть встроенный PKI, он может по GPO выдавать сертификаты машинам при их подключении к домену. Настраивается это очень просто.
То есть машина подключилась к домену - в trust store добавился сертификат (причём закрытый ключ можно хранить прямо в TPM, так что никто его не экспортирует) и опционально сразу установился OpenVPN клиент с корпоративным конфигом.
Когда [u]пользователь[/u] активирует VPN, сначала компьютер авторизуется по сертификату, а потом уже [u]пользователь[/u] вводит свои учётные данные AD и авторизуется через RADIUS/LDAP, получая доступ к внутренним ресурсам.
При таком подходе, в организации с тысячами пользователей и компьютеров, которые постоянно появляются и исчезают, можно легко контроллировать кто и с чего подключается к корпоративной сети и легко включать/отключать доступ совершенно никак не меняя настроек OpenVPN серверов.
Исходная версия jekader, :
почему не рекомендовано?
Это противоречит идее public key cryptography. Закрытый ключ, даже клиентский, не должен быть у нескольких человек сразу.
как сертификат то они поимеют
Я дал ключевые слова для поиска. В AD есть встроенный PKI, он может по GPO выдавать сертификаты машинам при их подключении к домену. Настраивается это очень просто.
То есть машина подключилась к домену - в trust store добавился сертификат (причём закрытый ключ можно хранить прямо в TPM, так что никто его не экспортирует) и опционально сразу установился OpenVPN клиент с корпоративным конфигом.
Когда пользователь активирует VPN, сначала компьютер авторизуется по сертификату, а потом уже пользователь вводит свои учётные данные AD и авторизуется через RADIUS/LDAP, получая доступ к внутренним ресурсам.