OpenVPN

0

0

У меня есть несколько OVPN серверов. Есть ли возможность сделать для них какой-нибудь сервер аутентификации? В гугле есть разные аддоны и т.п., но что-то как-то все не однозначно.

Т.е. надо чтобы я генерил сертификаты на 1м сервере, а все остальные их использовали.

Ссылка

←	Подскажите, в какие места надо бить админа, если маршрутизация поломана

Спрятать или замаскировать процесс

→

Какие, собственно, проблемы? OpenVPN на сервере использует только сертификат CA и crl(revocation list).

mikki
(14.08.10 14:08:30 MSD)

Ссылка

Т.е. надо чтобы я генерил сертификаты на 1м сервере, а все остальные их использовали.

А в чём проблема? Если я правильно понимаю, достаточно поднять один CA и залить на все сервера корневой сертификат. Далее в CA генерировать сертификаты клиентов и подписывать их корневым. С этими сертифкатами можно будет зайти на любой сервере, где лежит правильный корневой сертификат с ключём.

Если кроме сертификатов приаутентификации также используется логин и пароль, то можно привязать OpenVPN к LDAP (я делал через PAM).

Deleted
(14.08.10 14:08:43 MSD)

Ответ на: комментарий от Deleted 14.08.10 14:08:43 MSD

Надо из скриптов генерировать сертификаты и отдавать пользователю. Т.е. есть корп сеть. Пользователь заходит на внутренний сайт и генерит себе ключи. Разбрасывать ключи по сервера можно, о как-то не элегантно.

Т.е. генерятся все в одном месте, а потом использутся на 5 серверах.

alabalaev
(14.08.10 14:27:56 MSD) автор топика

Ответ на: комментарий от alabalaev 14.08.10 14:27:56 MSD

Разбрасывать ключи по сервера можно, о как-то не элегантно.

«Разбросать» нужно только один раз и только корневой сертификат. Сертификаты и ключи пользователей никуда разбрасывать не нужно.

Deleted
(14.08.10 14:32:17 MSD)

Ответ на: комментарий от Deleted 14.08.10 14:32:17 MSD

Я таки посмотрел в конфиг...

только корневой сертификат

Точнее:

Корневой сертификат
Ключ TLS (если используется)

То есть ты на какой-то одной системе поднимаешь Certificate Authority, например с помощью входящих в комплект OpenVPN скриптов easy-rsa (скрипт build-ca). Затем генерируешь ключ TLS (openvpn --genkey --secret). Корневой сертификат CA, а так же этот ключ копируешь на все сервера. Далее, для каждого сервера генерируешь свой сертификат сервера (build-key-server) и заливаешь соответственно на каждый сервер свой сертификат. На этом настройка серверов заканчивается. Потом для клиентов генерируешь сертификаты (build-key), отдаёшь им собственно сертификаты, ключи от них и ключ TLS. Как-то так.

Deleted
(14.08.10 14:41:17 MSD)

Ответ на: комментарий от Deleted 14.08.10 14:32:17 MSD

Спасибо. Я был уверен, что клиентский ключи должны находиться на серверах. (Еще не использовал openvpn) А как же тогда заблокировать пользователя, если он потерял свой сертификат?

alabalaev
(14.08.10 14:43:56 MSD) автор топика

Ответ на: Я таки посмотрел в конфиг... от Deleted 14.08.10 14:41:17 MSD

ушел читать маны

alabalaev
(14.08.10 14:48:13 MSD) автор топика

Ссылка

Ответ на: комментарий от alabalaev 14.08.10 14:43:56 MSD

А как же тогда заблокировать пользователя, если он потерял свой сертификат?

Тут сложнее. При отзыве сертификатов easy-rsa обновляет файл crl.pem, путь до которого указывается опцией crl-verify в конфиге сервера. Нужно предусмотреть какой-нибудь механизм, с помощью которого OpenVPN-сервера будут периодически обновлять свой crl.pem с центрального сервера CA. Можно например выкладывать этот файл на веб-сервер, а OpenVPN-сервера будут периодически скачивать его по cron'у с помощью wget.

Deleted
(14.08.10 14:48:47 MSD)

Ответ на: комментарий от Deleted 14.08.10 14:48:47 MSD

> Нужно предусмотреть какой-нибудь механизм, с помощью которого OpenVPN-сервера будут периодически обновлять свой crl.pem с центрального сервера CA

В корневом сертификате можно при его генерации указать CRL distribution point, и клиент будет сам вытягивать его (CRL)с сервера. В теории. Лично проверить пока не сподобилась, увы :-)

Nastishka ★★★★★
(14.08.10 15:16:38 MSD)

Ответ на: комментарий от Nastishka 14.08.10 15:16:38 MSD

В корневом сертификате можно при его генерации указать CRL distribution point, и клиент будет сам вытягивать его (CRL)с сервера.

OpenVPN это не умеет, к сожалению. Так что придётся мутить cron + wget =).

Deleted
(14.08.10 15:23:05 MSD)

Ответ на: комментарий от Deleted 14.08.10 15:23:05 MSD

чего и не хотел...

сабж... С каким-нибудь сервером аут. было бы куда элегантнее. Буду копать в эту сторону.

alabalaev
(14.08.10 19:24:44 MSD) автор топика

Ответ на: чего и не хотел... от alabalaev 14.08.10 19:24:44 MSD

С каким-нибудь сервером аут. было бы куда элегантнее.

На самом деле, централизованный сервер аутентификации - это гораздо менее элегантно, чем PKI. В случае с PKI тебе придётся синхронизировать только список отзыва сертификатов, а с централизованным сервером аутентификации тебе придётся налаживать какое-то постоянное взаимодействие либо для полной синхронизации списка логинов/паролей, либо для аутентификации «онлайн». Опять таки, отказоустойчивость у решения с PKI гораздо выше.

Буду копать в эту сторону.

Как вариант: всем клиентам выдавать один сертификат и аутентифицировать их отдельно по логину и паролю, храняющемуся в LDAP.

Deleted
(14.08.10 19:32:10 MSD)

Ответ на: комментарий от Deleted 14.08.10 19:32:10 MSD

Сертификат отозвать сложно, но в целом, поступил так: создал ccd директорию, если клиент мне не нужен, достаточно удалить его конфиг оттуда. Ну и потом можно и грохать сертификат.

DALDON ★★★★★
(14.08.10 23:21:29 MSD)

Ссылка

взять вместо «easy rsa» прилагающемуся в комплекте с OpenVPN любую другую PKI (посерьёзней). От Удостоверяющего Центра ЦентроБанка и VISA до Comodo и OpenDNS - они все предлагают услуги УЦ.

MKuznetsov ★★★★★
(15.08.10 00:18:08 MSD)

Ответ на: комментарий от MKuznetsov 15.08.10 00:18:08 MSD

взять вместо «easy rsa» прилагающемуся в комплекте с OpenVPN любую другую PKI (посерьёзней). От Удостоверяющего Центра ЦентроБанка и VISA до Comodo и OpenDNS - они все предлагают услуги УЦ.

А смысл?

Deleted
(15.08.10 00:24:01 MSD)