Hoặc, có thể bất kỳ oauth?
Tất cả những gì tôi có thể tìm thấy - là xác thực 2factor với google. Nhưng tôi muốn sử dụng cơ sở Google Apps cho auth OpenVPN.
Tôi tin rằng có thể tạo ra một cái gì đó như gitlab. Nơi bạn có thể đặt chứng chỉ của mình và sau đó sử dụng nó mà không cần đăng nhập và mật khẩu.
Câu trả lời:
Trong khi tìm kiếm một giải pháp cho điều này, tôi đã đi qua Cổng . Nó tự động tạo hồ sơ OpenVPN đằng sau OAuth và hỗ trợ MFA. Nó cũng có một bảng điều khiển quản trị để quản lý người dùng. Đây là một bài đăng blog từ các nhà phát triển phác thảo trường hợp sử dụng và các tính năng của nó.
CẬP NHẬT 06/2019 - Pritunl hiện là giải pháp tiếp theo của tôi cho việc này. Nó hỗ trợ tạo hồ sơ OpenVPN tự động phía sau Google Auth và cung cấp ứng dụng khách đa nền tảng giúp thiết lập dễ dàng với các URI duy nhất. Người dùng không xác thực với Google để kết nối (có thể yêu cầu mã PIN) có thể là nhược điểm đối với một số người, nhưng tôi thấy sự dễ sử dụng tuyệt vời cho các nhóm nhỏ hơn.
Tôi không nghĩ có một cách tốt để làm điều này. Vấn đề là các phương thức xác thực được Google hỗ trợ, chẳng hạn như OAuth, thực sự hướng đến việc xác thực các ứng dụng web. Khía cạnh quan trọng của điều này là bạn (với tư cách là người dùng ứng dụng) không bao giờ cung cấp thông tin đăng nhập của bạn cho trang web của bên thứ ba. Trang web hướng dẫn bạn đến một trang xác thực tại Google, nơi bạn đăng nhập và ủy quyền cho trang web của bên thứ ba.
Với OpenVPN là một ứng dụng không dựa trên web, tôi nghĩ rằng gần như không thể làm điều này một cách hợp lý. Về cơ bản, bạn phải viết một mô-đun xác thực OpenVPN tùy chỉnh đánh vào API OAuth của Google, yêu cầu mã xác thực, sau đó cung cấp cho người dùng một URL đặc biệt mà họ phải đến, nơi họ đăng nhập, nhận mã truy cập , sau đó họ phải nhập vào xác thực OpenVPN để nó có thể quay lại mô-đun xác thực OpenVPN của bạn để quay lại Google để lấy "yay" hoặc "nay" khi xác thực bạn. Nếu nó có vẻ phức tạp, đó là vì nó là.
Giả sử bạn đề cập đến Google Apps có nghĩa là bạn đang sử dụng phiên bản Google Apps trả phí (hiện được gọi là Google Apps for Work), cách tốt nhất của bạn có lẽ là thiết lập Đăng nhập một lần (SSO), trong đó hệ thống quản lý nhận dạng nội bộ của bạn là nguồn sự thật và cả Google Apps và hệ thống OpenVPN của bạn đều xác thực với nó. Bạn có thể tìm hiểu thêm về Google Apps SSO chỉ bằng cách googling cho nó. Hãy lưu ý, đó không nhất thiết là một quy trình đơn giản và thường đòi hỏi một số nỗ lực để thực hiện.
Về cơ bản, bạn cần một cách để cung cấp thông tin đăng nhập của bạn cho OpenVPN, và sau đó thay mặt bạn xác thực nó. Điều này chỉ hoạt động cho các trường hợp người dùng của bạn sẽ tin tưởng thông tin đăng nhập của họ vào ứng dụng (trong trường hợp này là VPN). Điều đó hoạt động để xác thực công ty, nhưng không phù hợp với tầm nhìn của Google, nơi có các ứng dụng không đáng tin cậy.